Cybersecurity-onderzoekers bij Socket blootgelegd de kwaadaardige Chrome-extensie Crypto Copilot, die verborgen Solana-overdrachtskosten injecteert in Raydium-swaptransacties in de Chrome Web Store. Gepubliceerd door gebruiker sjclark76 op 7 mei 2024, de extensie heeft 12 installaties en blijft beschikbaar om te downloaden. De extensie presenteert zichzelf als een hulpmiddel voor het rechtstreeks verhandelen van cryptocurrency op X, en biedt realtime inzichten en naadloze uitvoering. Achter deze façade manipuleert Crypto Copilot op Solana gebaseerde transacties die worden uitgevoerd op Raydium, een gedecentraliseerde beurs en geautomatiseerde marktmaker gebouwd op de Solana blockchain. Wanneer gebruikers via Raydium een swap starten, activeert de extensie versluierde code die een aanvullende instructie aan de transactie toevoegt voordat deze de handtekeningfase van de gebruiker bereikt. Deze geïnjecteerde instructie bestaat uit a SystemProgram.transfer-methodedat geld van de portemonnee van de gebruiker naar een hardgecodeerd adres stuurt dat door de aanvaller wordt beheerd. Het overdrachtsbedrag bedraagt minimaal 0,0013 SOL of 0,05 procent van de totale handelswaarde, afhankelijk van welke waarde het grootst is. Voor swaps van meer dan 2,6 SOL stijgt de vergoeding naar 2,6 SOL plus 0,05 procent van het swapbedrag. Socket-beveiligingsonderzoeker Kush Pandya heeft het mechanisme gedetailleerd beschreven in een rapport dat dinsdag is vrijgegeven en stelt: “Achter de interface injecteert de extensie een extra overdracht in elke Solana-swap, waarbij minimaal 0,0013 SOL of 0,05% van het handelsbedrag wordt overgeheveld naar een hardgecodeerde, door een aanvaller bestuurde portemonnee.” Om detectie te omzeilen, maakt de kwaadaardige code gebruik van minificatietechnieken en hernoemt de variabelen, waardoor het script moeilijk te analyseren is. Gebruikers ondervinden tijdens het transactieproces geen zichtbare indicatie van deze wijziging. De gebruikersinterface van de extensie geeft alleen de standaard swapgegevens weer, zonder enige verwijzing naar de verborgen kosten. Als gevolg hiervan keuren individuen de transactie doorgaans goed zonder zich bewust te zijn van de aftrek, tenzij ze elke instructie handmatig bekijken voordat ze ondertekenen. Crypto Copilot kan worden geïntegreerd met een backend-server op crypto-coplilot-dashboard.vercel.app, waar het verbonden portemonnees registreert, punten en verwijzingsinformatie ophaalt en gebruikersactiviteiten registreert. Het bijbehorende domein cryptocopilot.app dient geen daadwerkelijk product en functioneert uitsluitend als misleidende infrastructuur. De extensie versterkt de schijn van legitimiteit verder door diensten van DexScreener voor marktgegevens en Helius RPC voor blockchain-interacties op te nemen. De bestemming voor het overgehevelde geld is een persoonlijke portemonnee, die zich onderscheidt van de protocollen, wat de gebruikersverificatie bemoeilijkt. Pandya benadrukte deze subtiliteit en merkte op: “Omdat deze overdracht stil wordt toegevoegd en naar een persoonlijke portemonnee wordt gestuurd in plaats van naar een protocolschatkist, zullen de meeste gebruikers dit nooit merken, tenzij ze elke instructie inspecteren voordat ze ondertekenen.” Hij voegde eraan toe dat de algehele opzet prioriteit geeft aan het ontwijken van platformcontrole, waarbij hij opmerkte: “De omringende infrastructuur lijkt alleen ontworpen om de beoordeling van de Chrome Web Store te doorstaan en een laagje legitimiteit te bieden, terwijl op de achtergrond kosten worden overgeheveld.”
