Uma extensão maliciosa do navegador Google Chrome está permitindo que usuários negociem na Solana, enquanto discretamente desvia uma taxa de cada swap para a carteira do criador.
Segundo um relatório publicado na terça-feira pela empresa de cibersegurança Socket, a extensão do Google Chrome permite que usuários negociem Solana (SOL) a partir do feed da rede social X. Diferente de malwares tradicionais que drenam carteiras e tentam roubar todo o saldo, o Crypto Copilot “injeta uma transferência extra em cada swap de Solana, desviando um mínimo de 0,0013 SOL ou 0,05% da negociação”, identificou a Socket.
No backend, o Crypto Copilot usa a exchange descentralizada Raydium para executar swaps para o usuário, mas acrescenta uma segunda instrução que transfere SOL do usuário para o invasor. A interface do usuário mostra apenas os detalhes do swap, enquanto as telas de confirmação da carteira “resumem a transação sem exibir instruções individuais”.
“Os usuários assinam o que parece ser um único swap, mas ambas as instruções são executadas de forma atômica on-chain”, disse a Socket.
Uma operação de longa duração
A Socket informou que enviou um pedido de remoção da extensão para a equipe de segurança da Chrome Web Store. A extensão maliciosa está ativa há relativamente muito tempo, publicada em 18 de junho de 2024, mas a loja indica que ela tem apenas 15 usuários no momento da redação.
O Crypto Copilot se promove como uma ferramenta de conveniência que permite a traders de Solana executarem swaps diretamente do Twitter. Promete “permitir que você aja instantaneamente em oportunidades de negociação sem necessidade de alternar entre aplicativos ou plataformas”.
A mais recente de várias extensões maliciosas do Google Chrome
A enorme base de usuários do Google Chrome e seu design extensível há anos tornam seu ecossistema de extensões um alvo para golpes focados em cripto. No início deste mês, a Socket alertou que a quarta extensão de carteira cripto mais popular na Chrome Web Store estava drenando fundos de usuários. No final de agosto, o agregador de exchanges descentralizadas Jupiter afirmou ter identificado outra extensão maliciosa do Chrome que estava esvaziando carteiras de Solana.
Em junho de 2024, um trader chinês aparentemente perdeu US$ 1 milhão após instalar um plugin do Chrome chamado Aggr. Essa extensão roubava cookies do navegador para assumir contas, incluindo acesso à conta Binance do trader.
