Investigadores de ciberseguridad han descubierto una nueva extensión maliciosa en Chrome Web Store que es capaz de inyectar una transferencia sigilosa de Solana en una transacción de intercambio y transferir los fondos a una billetera de criptomonedas controlada por el atacante.
La extensión, denominada “Crypto Copilot”, fue publicada por primera vez el 7 de mayo de 2024 por un usuario llamado “sjclark76”. El desarrollador describe el complemento del navegador como la capacidad de “negociar criptomonedas directamente en X con información en tiempo real y una ejecución perfecta”. La extensión tiene 12 instalaciones y todavía está disponible para descargar en el momento de escribir este artículo.
“Detrás de la interfaz, la extensión inyecta una transferencia adicional en cada intercambio de Solana, desviando al menos 0,0013 SOL o 0,05% del monto de la transacción a una billetera codificada y controlada por el atacante”, dijo el investigador de seguridad de Socket, Kush Pandya, en un informe el martes.
Específicamente, la extensión contiene un código ofuscado que cobra vida cuando un usuario realiza un intercambio con Raydium, manipulándolo para incluir una transferencia SOL no revelada en la misma transacción firmada. Raydium es un intercambio descentralizado (DEX) y un creador de mercado automatizado (AMM) construido sobre la cadena de bloques Solana.
Funciona adjuntando un método oculto SystemProgram.transfer Util a cada intercambio antes de solicitar la firma del usuario y enviar la tarifa a una billetera codificada incrustada en el código. La tarifa se calcula en función del monto negociado y cobra un mínimo de 0,0013 SOL para las operaciones y 2,6 SOL y 0,05% del monto del swap si es superior a 2,6 SOL. Para evitar la detección, el comportamiento malicioso se disfraza mediante técnicas como la minificación y el cambio de nombre de variables.
La extensión también se comunica con un backend alojado en el dominio de la aplicación crypto-coplilot-dashboard.vercel(.) para registrar billeteras conectadas, recuperar puntos y datos de referencia, e informar la actividad del usuario. El dominio junto con “cryptocopilot(.)app” no alberga un producto real.
Lo notable del ataque es que los usuarios quedan completamente ignorantes sobre la tarifa oculta de la plataforma, y solo se muestran los detalles del intercambio en la interfaz. Además, Crypto Copilot utiliza servicios legítimos como DexScreener y Helius RPC para darle una apariencia de confianza.
“Debido a que esta transferencia ocurre silenciosamente y se envía a una billetera personal en lugar de a una tesorería de protocolo, la mayoría de los usuarios nunca lo notarán a menos que verifiquen cada instrucción antes de firmar”, dijo Pandya. “La infraestructura circundante parece diseñada únicamente para pasar la verificación de Chrome Web Store y crear una apariencia de legitimidad mientras se evitan tarifas en segundo plano”.
About The Author
