Sikkerhedsadvarsel for Solana-handlere
En ny sikkerhedsadvarsel er dukket op for Solana-handlere, efter at forskere har afsløret en Chrome-udvidelse, der hemmeligt tilføjer ekstra gebyrer til brugerens swaps. Udvidelsen, kaldet Crypto Copilot, promoverer hurtig handel direkte fra sociale medie-feeds.
Skjulte gebyrer og risici
Dog har efterforskere opdaget, at den stille og roligt indsætter en skjult SOL-overførsel i hver Raydium-swap. Som følge heraf mister intetanende brugere en del af deres aktiver uden nogen visuel indikation. Denne opdagelse rejser bredere bekymringer om browserbaserede handelsværktøjer og advarer handlere om de risici, der er forbundet med udvidelser, der kræver omfattende signaturrettigheder.
“Socket’s Threat Research Team identificerede denne adfærd under en gennemgang af mistænkelige udvidelser relateret til Solana-aktivitet.”
Udvidelsen så legitim ud ved første øjekast, da den forbinder til velkendte tegnebøger og viser token-data fra DexScreener. Dog bemærkede forskerne, at hver swap genererede to instruktioner i stedet for én. Udvidelsen udfører den korrekte Raydium-swap, men tilføjer derefter en anden instruktion, der overfører et lille beløb af SOL til en angriber-kontrolleret tegnebog. Gebyret varierer fra 0.0013 SOL til 0.05% af handelsbeløbet. Desuden vises overførslen ikke i grænsefladen.
Brugernes udfordringer
Typiske tegnebogs-prompt opsummerer hele transaktionen som en enkelt handling, hvilket gør det svært for brugerne at bemærke den ekstra instruktion. Derfor indsamler angriberen gebyrer i baggrunden, mens handleren tror, de udfører en normal swap.
“Crypto Copilot blev lanceret i juni 2024 med et tilbud, der appellerede til hurtige Solana-handlere.”
Udvidelsen registrerer tokens nævnt i indlæg på X og tilbyder en one-click swap-knap. Den anmoder om tegnebogsadapter-rettigheder, der ser normale ud for alle, der handler ofte. Derudover præsenterer dens grænseflade hastighed og bekvemmelighed som de primære funktioner. Dog nævner ingen af dens marketingmaterialer de tilføjede gebyrer eller uoplyste overførsler.
Bekymringer om browserudvidelser
Den problematiske kode var skjult inde i stærkt obfuskerede filer. Dette rejste bekymringer blandt analytikere, der bemærkede, at udvidelser, der tilbyder øjeblikkelig handel, ofte opfordrer brugerne til hurtigt at underskrive transaktioner, hvilket gør det lettere at overse stille ekstra instruktioner. Udvidelsen forbliver online, og forskere har anmodet om dens nedtagning.
Væsentligt er hændelsen et tegn på en bredere tendens. Browserudvidelser, der håndterer on-chain handlinger, er blevet mere populære, men de øger også sikkerhedseksponeringen. Desuden retter angribere sig nu oftere mod Solana-handlere på grund af den stigende aktivitet i økosystemet.
Rådgivning til brugerne
Derfor rådgiver sikkerhedsteams brugerne om at gennemgå hver transaktion omhyggeligt, undgå ukendte udvidelser og overvåge for usædvanlige overførselsmønstre.
