'Ekstensi 'Crypto Copilot' Mengirim SOL ke Hacker: Detail - U.Today

Menurut laporan terbaru, ekstensi Chrome “Kripto Copilot” sedang menyedot SOL dari siapa saja yang menginstalnya.

Ekstensi ini berpura-pura menjadi pembantu perdagangan untuk pengguna Solana, memungkinkan Anda mengeksekusi pertukaran langsung dari pos X (Twitter)

Di permukaan, itu terlihat sepenuhnya normal: itu terhubung ke dompet standar, menunjukkan data harga DexScreener, dan merutekan swap melalui Raydium, AMM terbesar Solana.

Tapi di balik UI itu, secara diam-diam menyuntikkan instruksi tambahan ke dalam setiap transaksi yang Anda tanda tangani.

Cara kerjanya

Ekstensi tersebut diam-diam melampirkan instruksi kedua di belakang layar: transfer SOL kecil yang tersembunyi ke dompet pribadi penyerang.

Anda tidak pernah melihatnya di UI. Dompet seperti Phantom hanya menampilkan ringkasan kecuali Anda secara manual memperluas daftar instruksi. Jadi, sebagian besar pengguna tidak pernah menyadari transfer keluar yang terkubur di dalam transaksi yang sama.

Kode pengambilan biaya itu sendiri sederhana: ia menghitung baik biaya tetap kecil atau persentase kecil dari perdagangan, mengonversinya menjadi lamport, dan kemudian dengan tenang menambahkan instruksi kedua ke transaksi yang mengirimkan jumlah itu ke dompet penyerang.

Apa yang membuatnya berbahaya adalah bahwa logika ini tersembunyi di dalam JavaScript yang sangat teracak. Di permukaan, UI terlihat sepenuhnya sah, hanya menampilkan pertukaran Raydium yang diharapkan.

Ekstensi ini juga terhubung ke domain backend dengan kesalahan ketik, yang mencatat ID dompet, melacak aktivitas, dan berpura-pura memberikan “poin” dan rujukan meskipun situs web yang sebenarnya kosong dan tidak berfungsi.

Di on-chain, pencurian terlihat seperti transfer SOL kecil dan biasa yang duduk di samping swap yang sah. Oleh karena itu, kecuali seseorang memeriksa instruksi dengan cermat atau mengetahui alamat penyerang, itu akan menyatu. Biayanya sengaja cukup kecil untuk diabaikan pada saat itu.