'Крипто Копілот' Розширення Надсилає SOL Хакеру: Деталі - U.Today

Згідно з нещодавнім звітом, розширення Chrome “Крипто Копілот” siphoning SOL у тих, хто його встановлює.

Розширення вдає із себе торгового помічника для користувачів Solana, дозволяючи вам виконувати обміни безпосередньо з X (Twitter) постів

На перший погляд, це виглядає абсолютно нормально: воно підключається до стандартних гаманців, показує дані цін DexScreener і маршрутизує обміни через Raydium, найбільший AMM Solana.

Але під цим інтерфейсом воно таємно вставляє додаткову інструкцію в кожну транзакцію, яку ви підписуєте.

Як це працює

Розширення тихо додає другу інструкцію за лаштунками: маленький, прихований переказ SOL на особистий гаманець зловмисника.

Ви ніколи не побачите це в інтерфейсі. Гаманець, як Phantom, показує лише резюме, якщо ви не розгорнете список інструкцій вручну. Тож більшість користувачів ніколи не помічає вихідний переказ, захований всередині тієї ж транзакції.

Код вилучення збору насправді простий: він розраховує або незначний фіксований збір, або незначний відсоток від угоди, перетворює його на лампорти, а потім тихо додає другий інструкцію до транзакції, яка надсилає цю суму до гаманця нападника.

Що робить це небезпечним, так це те, що ця логіка захована всередині сильно заплутаного JavaScript. На перший погляд, інтерфейс виглядає цілком легітимно, показуючи лише очікуваний обмін Raydium.

Розширення також підключається до бэкэнд-домену з друкарською помилкою, який записує ідентифікатори гаманців, відстежує активність і робить вигляд, що надає “бали” та рефералів, хоча фактичний вебсайт порожній і не функціонує.

В ончейні, крадіжка виглядає як маленькі, звичайні SOL перекази, що сидять поруч із законними обмінами. Отже, якщо хтось не перевірить інструкції уважно або не знає адреси нападника, вона зливається. Комісія навмисно настільки мала, що її можна ігнорувати в момент.