'Cripto Copilot' Extensão Envia SOL para Hacker: Detalhes - U.Today

De acordo com um relatório recente, a extensão Chrome “Cripto Copilot” está a desviar SOL de qualquer pessoa que a instale.

A extensão finge ser um assistente de negociação para utilizadores de Solana, permitindo que você execute trocas diretamente de X (Twitter).

À primeira vista, parece totalmente normal: conecta-se a carteiras padrão, mostra dados de preços do DexScreener e roteia trocas através da Raydium, o maior AMM da Solana.

Mas por trás dessa interface, ele secretamente injeta uma instrução extra em cada transação que você assina.

Como funciona

A extensão anexar discretamente uma segunda instrução nos bastidores: uma pequena transferência de SOL oculta para a carteira pessoal do atacante.

Você nunca vê isso na interface. Carteiras como a Phantom mostram apenas um resumo, a menos que você expanda manualmente a lista de instruções. Portanto, a maioria dos usuários nunca percebe uma transferência de saída enterrada dentro da mesma transação.

O código de extração de taxas em si é simples: ele calcula uma pequena taxa fixa ou uma pequena porcentagem da negociação, converte-a em lamports e, em seguida, adiciona discretamente uma segunda instrução à transação que envia esse montante para a carteira do atacante.

O que torna isso perigoso é que essa lógica está enterrada dentro de JavaScript fortemente ofuscado. Na superfície, a interface do utilizador parece completamente legítima, mostrando apenas a troca Raydium esperada.

A extensão também se conecta a um domínio de backend com um erro de digitação, que regista IDs de carteiras, rastreia atividades e finge fornecer “pontos” e referências, embora o site real esteja vazio e não funcional.

Na cadeia, o roubo parece pequenas transferências de SOL ordinárias ao lado de trocas legítimas. Assim, a menos que alguém inspecione as instruções cuidadosamente ou conheça o endereço do atacante, ele se mistura. A taxa é intencionalmente pequena o suficiente para ser ignorada no momento.