Chrome-троян месяцами крал комиссию у Solana-трейдеров

Crypto Copilot, именно так называлось вредоносное расширение Chrome, выглядело как помощник для трейдеров, но инструмент тайно добавлял вторую транзакцию. Почему мошеннический инструмент долго не замечали? Сколько успели заработать создатели вредоносного Crypto Copilot и что обнаружили исследователи Socket?

Как работало вредоносное расширение

Компания Socket, специализирующаяся на кибербезопасности, предупредила, что расширение Crypto Copilot для Chrome скрывает вторую транзакцию, которая тайно выводит небольшие суммы SOL при каждом свопе токенов в сети Solana.

В опубликованном исследовании технический директор Socket Куш Пандья объяснил, что Crypto Copilot незаметно добавляет к каждому обмену дополнительную операцию. Она переводит минимум 0,0013 SOL или 0,05% от суммы сделки на кошелек злоумышленника.

Какие признаки выдали подмену

«Наш ИИ-сканер выявил несколько индикаторов: агрессивное запутывание кода, жестко запрограммированный адрес Solana, встроенный в логику транзакций, и несоответствия между заявленной функциональностью расширения и фактическим поведением сети», — заявил Пандья, добавив, что «эти оповещения инициировали более глубокий ручной анализ, который подтвердил наличие скрытого механизма извлечения комиссий».

Исследование подчеркивает риски, связанные с браузерными крипто-инструментами, особенно с расширениями, которые одновременно интегрируются с социальными сетями и получают доступ к подписи транзакций.

В отчете говорится, что вредоносное расширение несколько месяцев оставалось доступным в интернет-магазине Chrome. Все это время пользователи не знали о скрытых комиссиях, спрятанных в запутанном и намеренно усложненном коде. Отметим, что и на момент написания статьи вредоносное расширение доступно к установке, но об этом позже.

Вредоносное расширение все еще доступно для установки

«Информация о комиссии полностью отсутствует в описании Chrome Web Store, а сама логика ее взимания скрыта внутри сильно запутанного кода», — отметил Куш Пандья.

Каждый раз, когда пользователь совершал обмен токенов, расширение действительно формировало корректную инструкцию для свопа на платформе Raydium. Но одновременно оно незаметно добавляло еще одну скрытую инструкцию, которая переводила небольшое количество SOL на адрес злоумышленника.

Raydium — это децентрализованная биржа и автоматизированный маркет-мейкер в сети Solana. «Своп Raydium» означает обычный обмен одного токена на другой, через ее пулы ликвидности.

Как расширение оставалось незамеченным

Как уже рассказывали выше, пользователи, установившие Crypto Copilot, рассчитывали упростить себе торговлю в сети Solana, но в итоге незаметно платили скрытые комиссии за каждый обмен. Эти комиссии нигде не упоминались, ни в маркетинговых материалах расширения, ни в его описании в Chrome Web Store.

Вредоносный код. Изображение: Decrypt

Интерфейс показывал только основную операцию обмена, а всплывающее окно кошелька отображало итоговую сумму транзакции. Из-за этого пользователи подписывали то, что выглядело как один своп, хотя на самом деле в блокчейне одновременно исполнялись две операции. За счет этого вредоносное расширение и оставалось незамеченным.

Сколько денег уже украли

На данный момент на кошелек злоумышленника поступили лишь небольшие суммы. В отчете подчеркивается, что это говорит скорее о том, что Crypto Copilot еще не успел охватить большое число пользователей, а не о низкой опасности самой схемы.

Механизм скрытых комиссий масштабируется в зависимости от размера сделки. Для обменов меньше 2,6 SOL действует фиксированная комиссия — 0,0013 SOL. Если сумма больше, включается процентная ставка — 0,05%. Например, при обмене 100 SOL злоумышленник получает 0,05 SOL, что сейчас примерно соответствует $10.

Что сейчас происходит с расширением

Основной домен расширения — cryptocopilot[.]app, он зарегистрирован через сервис GoDaddy. При этом бэкенд-домен — crypto-coplilot-dashboard[.]vercel[.]app (к тому же написанный с ошибкой) показывает лишь пустую заглушку, хотя, по данным отчета, именно он собирает информацию о кошельках пользователей.

Компания Socket уже направила запрос в службу безопасности Chrome Web Store с просьбой удалить расширение. Однако, как мы упомянули выше, на момент написании статьи оно все еще оставалось доступным для скачивания.

Платформа призвала пользователей внимательно проверять каждую инструкцию перед подписанием транзакций, избегать торговых расширений с закрытым исходным кодом, которые запрашивают разрешения на подпись, и перевести активы на новые, «чистые», кошельки, если они устанавливали Crypto Copilot.

Дисклеймер

Мнения экспертов могут не совпадать с позицией редакции. Traffic Cardinal не дает инвестиционных советов, материал опубликован исключительно в ознакомительных целях.

Еще больше полезных материалов о крипте и инвестициях — в нашем телеграм-канале. Подписывайтесь!