Расширение Chrome, выдававшее себя за торгового помощника Solana, месяцами незаметно выводило комиссии со свопов пользователей, используя запутанную логику транзакций для перенаправления части каждой сделки на контролируемый злоумышленником кошелек.
Расширение «Crypto Copilot», о котором компания Socket, занимающаяся кибербезопасностью, сообщила ранее на этой неделе , с июня было доступно в интернет-магазине Chrome в качестве удобного инструмента для трейдеров на популярной бирже Solana DEX Raydium.
Однако Socket обнаружил, что в каждый своп Raydium внедряется вторая инструкция — переводящая либо 0,0013 SOL, либо 0,05% от суммы сделки на жестко запрограммированный кошелек.
Эксплойт основывался на простом механизме генерации правильной инструкции по замене Raydium с последующим добавлением скрытой передачи.
Это сработало, потому что интерфейсы кошельков обычно обобщают инструкции как один обмен, а связанная транзакция выполняется атомарно, то есть пользователи неосознанно подписывают обе операции. Представьте себе заказ бургера через приложение для ресторанов быстрого питания, где кнопка «Подтвердить заказ» фактически объединяет оплату, печать чека, выдачу еды и сдачи — всё в одном незаметном действии.
Пока что ончейн-потоки предполагают ограниченное распространение, поскольку злоумышленник собрал лишь небольшие суммы. Однако механизм масштабируется в зависимости от размера транзакции: сделки на сумму свыше примерно 2,6 SOL приводят к комиссии в размере 0,05%, то есть своп на 100 SOL принесет 0,05 SOL, или около 10 долларов США по текущим ценам.
Несколько других сигналов указывают на поспешно собранную инфраструктуру. Основной домен расширения, cryptocopilot[.]app, зарегистрирован на GoDaddy, а его бэкенд — crypto-coplilot-dashboard[.]vercel[.]app, с орфографической ошибкой — возвращает пустую страницу, несмотря на сбор метаданных кошелька.
Компания Socket заявила, что подала в Google официальный запрос на удаление, хотя на момент написания статьи расширение всё ещё работало. Компания предупредила пользователей избегать расширений с закрытым исходным кодом, требующих права подписи, и переносить активы на новые кошельки, если они взаимодействовали с Crypto Copilot.