Эксперты Socket разоблачили вредоносное расширение Crypto Copilot в Chrome для кражи у трейдеров Solana

• Вредоносное расширение Crypto Copilot ворует Solana (SOL) у трейдеров через скрытые инструкции.
• Это выяснили исследователи Socket.
• Crypto Copilot маскируется под инструмент для X-трейдинга, но отправляет актив на кошелек злоумышленника.

Исследователи компании Socket обнаружили вредоносное расширение Chrome под названием Crypto Copilot, которое позиционирует себя как инструмент для «мгновенного трейдинга прямо из ленты X [бывшая Twitter]», но фактически незаметно добавляет к каждому свопу на блокчейне Solana скрытый перевод Solana (SOL) на кошелек злоумышленника.

Расширение было опубликовано 18 июня 2024 года и маскируется под удобный инструмент для торговли токенами через Raydium, подключаясь к Phantom, Solflare и другим стандартным Solana-кошелькам.

Socket сообщила, что Crypto Copilot создает стандартную транзакцию свопа на Raydium, а затем “тихо добавляет вторую инструкцию, которая передает SOL от пользователя к Bjeida13AjgPaUEU9xrh1iQMwxZC7QDdvSfg73oxQff7».

Этот скрытый платеж не отображается в интерфейсе, а в кошельках он сливается с основной транзакцией, поскольку выполняется атомарно вместе со свопом. На странице расширения в Chrome Web Store нет никаких упоминаний о дополнительных комиссиях или удержаниях.

Платежный механизм вшит в код, который сильно запутан и минимизирован. Расширение взимает минимальную комиссию 0,0013 SOL или 0,05% от объема свопа — в зависимости от того, что больше. Таким образом:

• сделки до 2,6 SOL оплачивают минимальные 0,0013 SOL;
• сделки свыше 2,6 SOL – 0,05%.

Например, 100 свопов по 5 SOL генерируют 0,25 SOL, а своп в 100 SOL добавляет 0,05 SOL скрытой комиссии. Эти платежи редко заметны во время быстрой торговли, особенно если пользователь не открывает подробный список инструкций