'Крипто Копилот' Расширение Отправляет SOL Хакеру: Подробности - U.Today

Согласно недавнему отчету, расширение Chrome “Крипто Копилот” выкачивает SOL у всех, кто его устанавливает.

Расширение притворяется помощником по торговле для пользователей Solana, позволяя вам выполнять обмены напрямую из постов X (Twitter)

На первый взгляд, это выглядит совершенно нормально: оно подключается к стандартным кошелькам, показывает данные о ценах DexScreener и направляет обмены через Raydium, крупнейший AMM Solana.

Но под этим интерфейсом он тайно внедряет дополнительную инструкцию в каждую транзакцию, которую вы подписываете.

Как это работает

Расширение тихо прикрепляет вторую инструкцию за кулисами: крошечный, скрытый перевод SOL на личный кошелек злоумышленника.

Вы никогда не увидите это в интерфейсе. Кошельки, такие как Phantom, показывают только сводку, если вы вручную не развернете список инструкций. Поэтому большинство пользователей никогда не замечает исходящий перевод, скрытый внутри той же транзакции.

Код извлечения комиссии сам по себе прост: он вычисляет либо небольшую фиксированную комиссию, либо небольшую процентную долю от сделки, конвертирует её в лампорты, а затем тихо добавляет вторую инструкцию к транзакции, которая отправляет эту сумму в кошелек атакующего.

Опасность заключается в том, что эта логика скрыта внутри сильно запутанного JavaScript. На первый взгляд, пользовательский интерфейс выглядит совершенно легитимным, показывая только ожидаемый обмен Raydium.

Расширение также подключается к бэкенд-домену с опечаткой, который записывает идентификаторы кошельков, отслеживает активность и делает вид, что предоставляет «баллы» и реферальные ссылки, хотя фактический сайт пуст и неработоспособен.

В цепочке кража выглядит как крошечные, обычные переводы SOL, сидящие рядом с легитимными обменами. Таким образом, если кто-то не проверит инструкции внимательно или не знает адреса нападающего, она сливается с общим фоном. Комиссия намеренно мала, чтобы ее можно было проигнорировать в данный момент.