loading...
币圈网报道: 一款以便捷交易工具为卖点的 Chrome 扩展程序,自去年六月以来一直在暗中从用户的掉期交易中窃取 SOL,在每笔交易中注入隐藏费用,同时伪装成合法的 索拉纳 交易助手。
网络安全公司Socket在对Chrome网上应用商店进行“持续监控”期间,发现了恶意软件扩展程序Crypto Copilot。安全工程师兼研究员Kush Pandya表示。解密.
在分析Pandya在周三发布的恶意扩展程序中写道,Crypto Copilot会在每封邮件中悄悄地添加一条额外的转账指令。Solana进行交换,从攻击者控制的账户中提取至少 0.0013 SOL 或交易金额的 0.05%。钱包.
Pandya表示:“我们的AI扫描器标记了多个指标:激进的代码混淆、嵌入在交易逻辑中的硬编码Solana地址,以及扩展程序宣称的功能与实际网络行为之间的差异。”解密并补充说:“这些警报引发了更深入的人工分析,证实了隐藏费用提取机制的存在。”
该研究指出了基于浏览器的风险加密货币工具,特别是将社交媒体集成与交易签名功能相结合的扩展程序。
报告称,该扩展程序已在 Chrome 网上应用商店上架数月,但并未向用户发出任何警告,告知其隐藏在高度混淆的代码中的未公开费用。
Pandya 指出:“Chrome 网上应用商店的商品详情中从未披露过收费行为,而且实现该行为的逻辑隐藏在高度混淆的代码中。”
每次用户交换代币时,该扩展程序都会生成正确的 Raydium 交换指令,但会悄悄地添加一个额外的转账,将 SOL 指向攻击者的地址。
Raydium 是一个基于 Solana 的去中心化交易所和自动做市商,而“Raydium 互换”则简单地指通过其流动性池将一种代币兑换成另一种代币。
用户安装了 Crypto Copilot,以为它可以简化他们的 Solana 交易,却在不知不觉中每次兑换都支付了隐藏费用,这些费用从未出现在该扩展程序的营销材料或 Chrome 网上应用商店列表中。
界面仅显示兑换详情,钱包弹出窗口总结交易,因此用户签署的看起来像是单个兑换,即使两条指令在链上同时执行。
报告指出,攻击者的钱包迄今为止只收到了少量资金,这表明 Crypto Copilot 尚未被很多用户利用,而不是表明该漏洞风险较低。
费用机制与交易规模成正比,对于低于 2.6 SOL 的互换交易,适用最低 0.0013 SOL 的费用;对于高于该阈值的交易,则适用 0.05% 的百分比费用,这意味着 100 SOL 的互换交易将收取 0.05 SOL 的费用,按当前价格计算约为 10 美元。
报告称,该扩展程序的主域名 cryptocopilot[.]app 由域名注册商 GoDaddy 托管,而位于 crypto-coplilot-dashboard[.]vercel[.]app 的后端(拼写错误)尽管收集了钱包数据,却只显示一个空白的占位符页面。
Socket 已向谷歌 Chrome 网上应用商店安全团队提交了下架请求,但截至发稿时,该扩展程序仍然可用。
该平台敦促用户在签署交易前仔细阅读每条指令,避免使用请求签名权限的闭源交易扩展程序,如果安装了 Crypto Copilot,则将资产迁移到干净的钱包中。
恶意软件仍然是加密货币用户日益关注的问题。9 月份,名为 ModStealer 的恶意软件变种经查,该恶意软件通过虚假招聘广告攻击 Windows、Linux 和 macOS 上的加密钱包,并躲过了主流杀毒引擎近一个月的检测。
Ledger 首席技术官 Charles Guillemet 表示此前已发出警告攻击者已攻破 NPM 开发者帐户,恶意代码试图在跨多个区块链的交易过程中悄悄交换加密钱包地址。
830
387
840
224
422
637
936
