一个恶意的Google Chrome浏览器扩展程序正在让用户在Solana上交易,同时悄悄从每次交换中窃取费用到创建者的钱包。

根据网络安全公司Socket周二的报告,这个Google Chrome扩展程序允许用户从其X社交媒体信息流中在Solana(SOL)上交易。与试图窃取全部余额的典型钱包清空恶意软件不同,Socket发现Crypto Copilot"在每次Solana交换中注入额外转账,窃取最少0.0013枚SOL或交易的0.05%"。

在后端,Crypto Copilot使用去中心化交易所Raydium为用户执行交换,但附加了第二条指令,将SOL从用户转移到攻击者。用户界面仅显示交换详情,而钱包确认屏幕"总结交易而不显示单个指令"。

Socket表示:"用户签署看似单笔交换的内容,但两条指令在链上原子化执行。"

Google Chrome扩展程序的特色图片。来源:Chrome Web Store

长期存在的操作

Socket指出,它已向Chrome Web Store安全团队提交了该扩展程序的下架请求。这个恶意扩展程序存在时间相对较长,于2024年6月18日发布,但商店报告显示截至发稿时仅有15名用户。

Crypto Copilot将自己宣传为一个便利工具,允许Solana交易者直接从Twitter执行交换。它承诺"让您能够立即抓住交易机会,无需在应用程序或平台之间切换"。

众多恶意Google Chrome扩展程序中的最新案例

Google Chrome庞大的用户群和可扩展设计长期以来使其扩展生态系统成为加密货币相关骗局的目标。本月早些时候,Socket警告称Chrome Web Store中第四大最受欢迎的加密货币钱包扩展程序正在清空用户资金。8月下旬,去中心化交易聚合器Jupiter表示,它已识别出另一个正在清空Solana钱包的恶意Chrome扩展程序。

2024年6月,据报道一名中国交易者在安装名为Aggr的Chrome插件后损失了100万美元。该扩展程序窃取浏览器cookie以劫持账户,包括访问该交易者的币安(Binance)账户。

相关推荐:Upbit 在与 Naver 达成 100 亿美元交易后一天,遭遇 3600 万美元 Solana 热钱包攻破事件