Исследователи безопасности сообщили о вредоносном расширении для Google Chrome под названием Crypto Copilot.
Оно вмешивается в транзакции пользователей экосистемы Solana и добавляет к обычным свопам скрытые переводы на кошельки злоумышленников.
По данным анализа, расширение перехватывало операции, выполняемые через Raydium. Когда пользователь подтверждал обмен токенами, к легитимной инструкции добавлялась дополнительная, с переводом небольшого количества SOL на заранее прописанный адрес. Минимальная сумма - около 0.0013 SOL, но в некоторых случаях операция привязывалась к проценту от сделки.
Crypto Copilot распространялся через Chrome Web Store и позиционировался как инструмент для быстрого трейдинга прямо из интерфейса Twitter. Внешне расширение выглядело безобидным: поддерживало популярные кошельки Solana и позволяло переключаться на свопы без посещения сайта биржи. Вредоносный код был скрыт в обфусцированных фрагментах, поэтому долгое время оставался незамеченным.
Инцидент получил широкую огласку из-за того, что атака практически неотличима от нормальной работы браузерных кошельков. Пользователь подписывает привычную транзакцию, но часть средств автоматически уходит стороннему адресату.
Эта роблема показывает, насколько уязвимы криптопользователи, когда доверяют расширениям, не проходящим строгую проверку. Случай с Crypto Copilot стал напоминанием, что даже официальные магазины расширений не гарантируют безопасность, а любые продукты, обещающие «удобный трейдинг в один клик», могут оказаться инструментом кражи средств.
Источник
Оно вмешивается в транзакции пользователей экосистемы Solana и добавляет к обычным свопам скрытые переводы на кошельки злоумышленников.
По данным анализа, расширение перехватывало операции, выполняемые через Raydium. Когда пользователь подтверждал обмен токенами, к легитимной инструкции добавлялась дополнительная, с переводом небольшого количества SOL на заранее прописанный адрес. Минимальная сумма - около 0.0013 SOL, но в некоторых случаях операция привязывалась к проценту от сделки.
Crypto Copilot распространялся через Chrome Web Store и позиционировался как инструмент для быстрого трейдинга прямо из интерфейса Twitter. Внешне расширение выглядело безобидным: поддерживало популярные кошельки Solana и позволяло переключаться на свопы без посещения сайта биржи. Вредоносный код был скрыт в обфусцированных фрагментах, поэтому долгое время оставался незамеченным.
Инцидент получил широкую огласку из-за того, что атака практически неотличима от нормальной работы браузерных кошельков. Пользователь подписывает привычную транзакцию, но часть средств автоматически уходит стороннему адресату.
Эта роблема показывает, насколько уязвимы криптопользователи, когда доверяют расширениям, не проходящим строгую проверку. Случай с Crypto Copilot стал напоминанием, что даже официальные магазины расширений не гарантируют безопасность, а любые продукты, обещающие «удобный трейдинг в один клик», могут оказаться инструментом кражи средств.
Источник
