En skadelig Chrome-utvidelse stjeler kryptovaluta ved å snike inn skjulte gebyrer i hver Solana-transaksjon. Sikkerhetsforskere oppdaget at utvidelsen, kalt Crypto Copilot, stille omdirigerer små mengder krypto til lommebøker kontrollert av angripere hver gang brukere godkjenner et bytte.
Hvordan utvidelsen stjeler midler
Forskere fant at Crypto Copilot markedsfører seg som et praktisk handelsverktøy. Utvidelsen integreres med X (tidligere Twitter), viser token-informasjon og lar brukere bytte eiendeler uten å forlate plattformen.
Bak det enkle grensesnittet endrer utvidelsen hver Solana-handel på den desentraliserte børsen Raydium. Den injiserer en andre instruksjon i transaksjonen etter at brukeren har godkjent byttet. Denne instruksjonen legger til et uoppgitt gebyr og sender de stjålne midlene til angriperens lommebok.
Det skjulte gebyret forekommer i to former:
- Et fast beløp på omtrent 0,0013 SOL
- Et prosentbasert gebyr på rundt 0,05 % av transaksjonsverdien
De fleste brukere vil aldri merke disse beløpene med mindre de gjennomgår hver eneste transaksjon nøye.
Forskere påpekte flere røde flagg:
- Kraftig kodeobfuskering
- Logikk skjult dypt i urelaterte funksjoner
- Ingen opplysninger om ekstra gebyrer i utvidelsens butikkside
Disse metodene viser tydelig et forsøk på å skjule skadelig aktivitet.
Hvordan forskerne avslørte angrepet
Cybersikkerhetsfirmaet Socket undersøkte utvidelsen etter å ha lagt merke til uvanlig oppførsel i koden. Analysen viste klar intensjon om å manipulere transaksjoner. De bemerket også at utvidelsen ba om tillatelser som ikke var nødvendige for grunnleggende handelsfunksjoner.
Data fra blokkjeden viser at angriperens lommebok allerede har mottatt stjålet SOL. Beløpet er fortsatt lite, noe som sannsynligvis skyldes begrenset spredning så langt. Forskerne advarer om at skadene kan øke raskt dersom utvidelsen sprer seg blant aktive Solana-tradere.
Utvidelsen dukket opp i Chrome Web Store i løpet av 2024, noe som reiser spørsmål om kvaliteten på butikkens gjennomgangsprosesser. Skadelige utvidelser fortsetter å passere automatiserte kontroller til tross for gjentatte akademiske advarsler.
Hvorfor angrepet er viktig
Kryptobrukere er sterkt avhengige av nettleserutvidelser for lommebøker, analyser og raske handler. Disse verktøyene ber ofte om omfattende tillatelser, inkludert tilgang til transaksjonsdata. Angripere utnytter dette tillitsforholdet og bruker subtile endringer i transaksjoner for å stjele midler.
Denne typen angrep skaper flere risikoer:
- Brukere mister penger uten tydelige varsler
- Lommebokbeskyttelse kan ikke stoppe skadelige instruksjoner etter godkjenning
- Utvidelser kan endre handler på måter brukere ikke forventer
- Svindel er vanskelig å oppdage når gebyrene er små
Forskere understreker at krypto-relaterte utvidelser er verdifulle mål. Små og ubemerkede gebyrer kan over tid bli betydelige tap.
Hvordan brukere kan beskytte seg
Eksperter anbefaler flere tiltak:
- Installer kun utvidelser fra pålitelige utviklere
- Se gjennom tillatelser før godkjenning
- Overvåk transaksjonshistorikk for uforklarlige gebyrer
- Unngå handel via verktøy som kombinerer sosiale medier og blokkjedefunksjoner
- Bruk lommebøker med sterke sikkerhetsfunksjoner
Brukere bør også umiddelbart fjerne Crypto Copilot dersom den er installert.
Konklusjon
Oppdagelsen av en skadelig Chrome-utvidelse som tapper midler fra Solana-tradere, viser de vedvarende risikoene i økosystemet for nettleserutvidelser. Crypto Copilot brukte skjulte instruksjoner og skjulte gebyrer for å stjele penger under helt vanlige bytter. Hendelsen understreker behovet for streng gransking av utvidelser, solide sikkerhetsrutiner og nøye gjennomgang av transaksjoner. Å holde seg årvåken er fortsatt det beste forsvaret mot skjulte økonomiske trusler.
0 svar til “Skadelig Chrome-utvidelse stjeler krypto under hver handel”