Cybersicherheitsforscher bei Socket aufgedeckt die bösartige Chrome-Erweiterung Crypto Copilot, die versteckte Solana-Überweisungsgebühren in Raydium-Swap-Transaktionen im Chrome Web Store einspeist. Veröffentlicht vom Benutzer sjclark76 am 7. Mai 2024, die Erweiterung hat 12 Installationen und steht weiterhin zum Download zur Verfügung. Die Erweiterung präsentiert sich als Tool für den Handel mit Kryptowährungen direkt auf X und bietet Einblicke in Echtzeit und eine nahtlose Ausführung. Hinter dieser Fassade manipuliert Crypto Copilot Solana-basierte Transaktionen, die auf Raydium ausgeführt werden, einer dezentralen Börse und automatisierten Market Maker, die auf Raydium basiert Solana Blockchain. Wenn Benutzer einen Austausch über Raydium initiieren, aktiviert die Erweiterung verschleierten Code, der der Transaktion eine zusätzliche Anweisung anhängt, bevor sie die Signaturphase des Benutzers erreicht. Diese injizierte Anweisung besteht aus a SystemProgram.transfer-Methodedie Gelder aus der Brieftasche des Benutzers an eine fest codierte Adresse weiterleitet, die vom Angreifer kontrolliert wird. Der Überweisungsbetrag beträgt mindestens 0,0013 SOL oder 0,05 Prozent des gesamten Handelswerts, je nachdem, welcher Betrag höher ist. Für Swaps über 2,6 SOL erhöht sich die Gebühr auf 2,6 SOL plus 0,05 Prozent des Swap-Betrags. Der Socket-Sicherheitsforscher Kush Pandya erläuterte den Mechanismus in einem am Dienstag veröffentlichten Bericht und erklärte: „Hinter der Schnittstelle fügt die Erweiterung einen zusätzlichen Transfer in jeden Solana-Swap ein und schöpft mindestens 0,0013 SOL oder 0,05 % des Handelsbetrags in eine fest codierte, vom Angreifer kontrollierte Wallet.“ Um einer Erkennung zu entgehen, setzt der Schadcode Minimierungstechniken ein und benennt Variablen um, wodurch das Skript schwer zu analysieren ist. Benutzer erhalten während des Transaktionsprozesses keinen sichtbaren Hinweis auf diese Änderung. Die Benutzeroberfläche der Erweiterung zeigt nur die Standard-Swap-Details an und lässt jeglichen Hinweis auf die versteckte Gebühr weg. Infolgedessen genehmigen Einzelpersonen die Transaktion in der Regel, ohne sich des Abzugs bewusst zu sein, es sei denn, sie überprüfen jede Anweisung vor der Unterzeichnung manuell. Crypto Copilot lässt sich in einen Backend-Server unter crypto-coplilot-dashboard.vercel.app integrieren, wo es verbundene Wallets registriert, Punkte und Empfehlungsinformationen abruft und Benutzeraktivitäten protokolliert. Die zugehörige Domain cryptocopilot.app dient keinem tatsächlichen Produkt und fungiert lediglich als betrügerische Infrastruktur. Die Erweiterung stärkt den Anschein von Legitimität weiter, indem sie Dienste von DexScreener für Marktdaten und Helius RPC für Blockchain-Interaktionen integriert. Das Ziel für die abgezogenen Gelder ist eine persönliche Wallet, die sich von jeder Protokollkasse unterscheidet, was die Benutzerüberprüfung erschwert. Pandya betonte diese Subtilität und bemerkte: „Da dieser Transfer stillschweigend hinzugefügt und an eine persönliche Wallet und nicht an eine Protokollkasse gesendet wird, werden die meisten Benutzer es nie bemerken, es sei denn, sie prüfen jede Anweisung vor der Unterzeichnung.“ Er fügte hinzu, dass es bei der Gesamtkonfiguration vorrangig darum geht, einer Plattformprüfung zu entgehen, und bemerkte: „Die umgebende Infrastruktur scheint nur darauf ausgelegt zu sein, die Überprüfung des Chrome Web Store zu bestehen und einen Anschein von Legitimität zu vermitteln, während im Hintergrund Gebühren abgeschöpft werden.“
