Tiện ích Chrome chèn phí chuyển tiền Solana ẩn vào giao dịch hoán đổi Raydium

[Starlink]

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một tiện ích mở rộng độc hại mới trên Chrome Web Store có khả năng chèn lệnh chuyển Solana bí mật vào giao dịch hoán đổi và chuyển tiền vào ví tiền điện tử do kẻ tấn công kiểm soát.

Tiện ích mở rộng có tên Crypto Copilot được người dùng có tên "sjclark76" phát hành lần đầu vào ngày 7 tháng 5 năm 2024. Nhà phát triển mô tả tiện ích bổ sung cho trình duyệt này cung cấp khả năng "giao dịch tiền điện tử trực tiếp trên X với thông tin chi tiết theo thời gian thực và thực hiện liền mạch". Tiện ích mở rộng này đã có 12 lượt cài đặt và vẫn có sẵn để tải xuống tại thời điểm viết bài.

Nhà nghiên cứu bảo mật Kush Pandya của Socket cho biết trong báo cáo hôm thứ Ba: "Phía sau giao diện, tiện ích mở rộng sẽ đưa thêm một khoản chuyển tiền vào mỗi lần hoán đổi Solana, rút tối thiểu 0,0013 SOL hoặc 0,05% số tiền giao dịch vào ví do kẻ tấn công kiểm soát được mã hóa cứng".

Cụ thể, tiện ích mở rộng này tích hợp mã hóa được kích hoạt khi người dùng thực hiện giao dịch hoán đổi Raydium, thao túng nó để đưa một khoản chuyển SOL không được tiết lộ vào cùng một giao dịch đã ký. Raydium là một sàn giao dịch phi tập trung (DEX) và nhà tạo lập thị trường tự động (AMM) được xây dựng trên blockchain Solana.

Nó hoạt động bằng cách thêm một phương thức SystemProgram.transfer ẩn vào mỗi giao dịch hoán đổi trước khi yêu cầu chữ ký của người dùng, và gửi phí đến một ví cứng được nhúng trong mã. Phí được tính dựa trên số tiền giao dịch, tối thiểu 0,0013 SOL cho mỗi giao dịch, 2,6 SOL và 0,05% số tiền hoán đổi nếu lớn hơn 2,6 SOL. Để tránh bị phát hiện, hành vi độc hại được che giấu bằng các kỹ thuật như thu nhỏ và đổi tên biến.

Tiện ích mở rộng này cũng giao tiếp với một nền tảng lưu trữ trên tên miền "crypto-coplilot-dashboard.vercel[.]app" để đăng ký ví được kết nối, lấy điểm và dữ liệu giới thiệu, cũng như báo cáo hoạt động của người dùng. Tên miền này, cùng với "cryptocopilot[.]app", không lưu trữ bất kỳ sản phẩm thực tế nào.

Điều đáng chú ý về cuộc tấn công này là người dùng hoàn toàn không biết về khoản phí nền tảng ẩn, và giao diện người dùng chỉ hiển thị chi tiết về giao dịch hoán đổi. Hơn nữa, Crypto Copilot sử dụng các dịch vụ hợp pháp như DexScreener và Helius RPC để tạo nên vẻ ngoài đáng tin cậy.

"Vì giao dịch này được thêm vào một cách âm thầm và được gửi đến ví cá nhân thay vì kho bạc giao thức, nên hầu hết người dùng sẽ không bao giờ nhận thấy trừ khi họ kiểm tra từng lệnh trước khi ký", Pandya nói. "Cơ sở hạ tầng xung quanh dường như chỉ được thiết kế để vượt qua quy trình kiểm tra của Chrome Web Store và tạo ra vẻ ngoài hợp pháp trong khi vẫn âm thầm rút tiền."