Шкідливе розширення Chrome атакує Solana-трейдерів

У мережі виявили хакерське розширення для браузера Google Chrome, яке списує приховані комісії під час торгівлі криптовалютою. На це звернули увагу дослідники Socket.

Інструмент під назвою Crypto Copilot дозволяв укладати угоди в мережі Solana «безпосередньо через стрічку в X». Втім з кожної транзакції стягувалися додаткові збори щонайменше 0,0013 SOL або 0,05% від загальної суми.

Кошти надходили на підконтрольний зловмиснику гаманець. При цьому в описі розширення комісії не згадуються, а в мережі їх приховували за допомогою «заплутаного коду».

«Коли користувач виконує своп, Crypto Copilot формує очікувану інструкцію обміну на Raydium, а потім непомітно додає другу, яка передає SOL від користувача [шахраю]», — пояснили експерти з безпеки.

Розширення підключається до Phantom, Solflare та інших стандартних гаманців Solana, а також відображає дані про токени з DexScreener. У маркетинговому тексті акцент робиться на швидкості, зручності та «торгівлі в один клік».

На момент написання Crypto Copilot усе ще доступний для завантаження в магазині застосунків Chrome, хоча команда Socket направила скаргу до Google. Розширення існує з червня 2024 року.

«Програма підключається до вебсторінки, розпізнає токени й пропонує кнопку обміну поруч із популярними публікаціями [в X]. Для підключення та підписання транзакцій вона запитує стандартні дозволи гаманця, що, загалом, незвично», — зазначили дослідники.

Нагадаємо, у серпні команда Jupiter виявила шкідливе розширення Bull Checker для Chrome, націлене на крадіжку активів у мережі Solana.