En ondsindet Chrome-udvidelse stjæler kryptovaluta ved at snige skjulte gebyrer ind i hver Solana-handel. Sikkerhedsforskere opdagede, at udvidelsen, kaldet Crypto Copilot, lydløst omdirigerer små mængder krypto til angriberkontrollerede wallets, hver gang brugere godkender en swap.
Hvordan udvidelsen stjæler midler
Forskere fandt, at Crypto Copilot markedsfører sig som et praktisk handelsværktøj. Udvidelsen integrerer med X (tidligere Twitter), viser tokenoplysninger og lader brugere bytte aktiver uden at forlade platformen.
Bag det simple interface ændrer udvidelsen hver Solana-transaktion på den decentraliserede børs Raydium. Den injicerer en anden instruks i transaktionen, efter at brugeren har godkendt byttet. Denne instruks tilføjer et uoplyst gebyr og flytter de stjålne midler til angriberens wallet.
Det skjulte gebyr forekommer i to former:
- Et fast beløb på cirka 0,0013 SOL
- Et procentbaseret gebyr på omkring 0,05 % af transaktionsværdien
De fleste brugere vil aldrig opdage disse små beløb, medmindre de gennemgår hver enkelt transaktion nøje.
Forskere pegede også på yderligere advarselssignaler:
- Kraftig kode-obfuskering
- Logik skjult dybt inde i ikke-relaterede funktioner
- Ingen oplysning om ekstra gebyrer i udvidelsens butiksside
Disse teknikker viser tydeligt et forsøg på at skjule den ondsindede aktivitet.
Hvordan forskerne afslørede angrebet
Cybersikkerhedsfirmaet Socket undersøgte udvidelsen, efter at have observeret usædvanlig adfærd i koden. Analysen viste en klar intention om at manipulere transaktioner. De bemærkede også, at udvidelsen anmodede om tilladelser, der ikke var nødvendige for almindelige handelsfunktioner.
On-chain-data viser, at angriberens wallet allerede har modtaget stjålen SOL. Beløbet er stadig lille, hvilket sandsynligvis afspejler begrænset udbredelse indtil videre. Forskere advarer dog om, at skaderne hurtigt kan vokse, hvis udvidelsen spredes blandt aktive Solana-tradere.
Udvidelsen dukkede op i Chrome Web Store i løbet af 2024, hvilket rejser spørgsmål om kvaliteten af butikkens screeningsprocesser. Ondsindede udvidelser passerer stadig automatiske kontroller på trods af gentagne advarsler fra forskere.
Hvorfor angrebet er alvorligt
Kryptobrukere er stærkt afhængige af browserudvidelser til wallets, analyser og hurtige handler. Disse værktøjer anmoder ofte om omfattende tilladelser, herunder adgang til transaktionsdata. Angribere udnytter denne tillid og bruger subtile ændringer i transaktioner til at stjæle midler.
Denne type angreb skaber flere risici:
- Brugere mister penge uden tydelige advarsler
- Wallet-sikkerhed kan ikke blokere skadelige instrukser efter godkendelse
- Udvidelser kan ændre handler på måder, brugere aldrig ville forvente
- Svindel er svært at opdage, når gebyrerne er små
Forskere understreger, at krypto-relaterede udvidelser er højværdimål. Små, ubemærkede gebyrer kan med tiden blive til store tab.
Sådan kan brugere beskytte sig
Eksperter anbefaler flere tiltag:
- Installer kun udvidelser fra betroede udviklere
- Gennemgå tilladelser, før du godkender dem
- Overvåg transaktionshistorik for uforklarlige gebyrer
- Undgå handel via værktøjer, der kombinerer sociale medier og blockchain-funktioner
- Brug wallets med stærke sikkerhedsfunktioner
Brugere bør også straks afinstallere Crypto Copilot, hvis det er installeret.
Konklusion
Opdagelsen af en ondsindet Chrome-udvidelse, der tømmer midler fra Solana-tradere, fremhæver de fortsatte risici i økosystemet for browserudvidelser. Crypto Copilot brugte skjulte instrukser og hemmelige gebyrer til at stjæle penge under almindelige swaps. Hændelsen understreger behovet for streng kontrol af udvidelser, stærke personlige sikkerhedsrutiner og omhyggelig gennemgang af transaktioner. At holde sig årvågen er stadig den bedste beskyttelse mod skjulte økonomiske trusler.
0 svar til “Ondsindet Chrome-udvidelse stjæler krypto ved hver handel”