'Tiền điện tử Copilot' Extension Gửi SOL cho Hacker: Chi tiết - U.Today

Theo một báo cáo gần đây, tiện ích mở rộng Chrome “Crypto Copilot” đang rút SOL từ bất kỳ ai cài đặt nó.

Tiện ích mở rộng giả vờ là một trợ lý giao dịch cho người dùng Solana, cho phép bạn thực hiện các giao dịch hoán đổi trực tiếp từ bài đăng trên X (Twitter).

Bề ngoài, nó trông hoàn toàn bình thường: nó kết nối với các ví tiêu chuẩn, hiển thị dữ liệu giá DexScreener, và định tuyến các giao dịch qua Raydium, AMM lớn nhất của Solana.

Nhưng bên dưới giao diện người dùng đó, nó bí mật chèn một chỉ thị bổ sung vào mỗi giao dịch mà bạn ký.

Cách thức hoạt động

Tiện ích mở rộng lén lút đính kèm một hướng dẫn thứ hai ở phía sau: một giao dịch chuyển SOL ẩn nhỏ đến ví cá nhân của kẻ tấn công.

Bạn không bao giờ thấy điều đó trong giao diện người dùng. Các ví như Phantom chỉ hiển thị tóm tắt trừ khi bạn mở rộng danh sách hướng dẫn một cách thủ công. Vì vậy, hầu hết người dùng không bao giờ nhận ra một giao dịch chuyển tiền ra nằm sâu bên trong cùng một giao dịch.

Mã trích phí tự nó rất đơn giản: nó tính toán hoặc một khoản phí cố định nhỏ hoặc một phần trăm nhỏ của giao dịch, chuyển đổi nó thành lamports, và sau đó âm thầm thêm một lệnh thứ hai vào giao dịch để gửi số tiền đó đến ví của kẻ tấn công.

Điều làm cho nó trở nên nguy hiểm là logic này được ẩn giấu bên trong JavaScript được mã hóa nặng. Trên bề mặt, giao diện người dùng trông hoàn toàn hợp pháp, chỉ hiển thị giao dịch Raydium được mong đợi.

Tiện ích mở rộng cũng kết nối với một miền backend có lỗi chính tả, ghi lại ID ví, theo dõi hoạt động, và giả vờ cung cấp “điểm” và giới thiệu mặc dù trang web thực tế là trống rỗng và không hoạt động.

Trên chuỗi, vụ trộm trông giống như những chuyển khoản SOL nhỏ, bình thường nằm cạnh các giao dịch hợp pháp. Do đó, trừ khi ai đó kiểm tra kỹ lưỡng các hướng dẫn hoặc biết địa chỉ của kẻ tấn công, nó sẽ hòa lẫn vào. Phí được cố tình đặt nhỏ đủ để bị bỏ qua trong khoảnh khắc.