Ekstensi Chrome Berbahaya ‘Crypto Copilot’ Tertangkap Menyuntikkan Biaya Tersembunyi ke Swap Solana

• The Hack: Ekstensi Chrome bernama “Crypto Copilot” diam-diam menambahkan transfer biaya ke pertukaran pengguna.
• Triknya: Ini menyembunyikan instruksi SystemProgram.transfer di dalam transaksi Raydium yang sah.
• Perbaikan: Pengguna harus memverifikasi instruksi transaksi individual di pratinjau dompet mereka sebelum menandatangani.

Ekstensi browser berbahaya yang menyamar sebagai alat perdagangan Solana telah tertangkap menyedot dana dari pengguna dengan memodifikasi muatan transaksi secara diam-diam.

Peneliti keamanan mengidentifikasi ekstensi Chrome yang berbahaya untuk diam-diam mencuri sejumlah kecil SOL dari pengguna Solana selama pertukaran. Ekstensi, bernama Crypto Copilot , terlihat seperti alat perdagangan normal tetapi diam-diam menambahkan transfer ekstra ke setiap perdagangan.

Cara Kerja Ekstensi Palsu

Tim Riset Ancaman Socket menemukan bahwa Crypto Copilot telah tersedia di Chrome Web Store sejak Juni 2024. Ini mengiklankan dirinya sebagai alat yang memungkinkan orang memperdagangkan token Solana langsung dari umpan X mereka. Ekstensi menunjukkan harga token, terhubung ke dompet populer, dan terlihat benar-benar aman di permukaan.

Namun, ketika pengguna melakukan swap, ekstensi membangun instruksi pertukaran Raydium normal dan kemudian diam-diam menambahkan instruksi kedua. Instruksi tambahan mengirim SOL ke dompet yang dikendalikan penyerang tanpa memberi tahu pengguna. Jumlah minimum yang diambil adalah 0,0013 SOL, atau 0,05 persen dari ukuran swap jika perdagangan cukup besar.

Dompet biasanya hanya menampilkan ringkasan utama transaksi. Sebagian besar pengguna tidak akan memperluas daftar instruksi lengkap, sehingga mereka tidak akan melihat bahwa dua tindakan terpisah sedang ditandatangani sekaligus.

Terlihat sah di luar; mencurigakan di dalam

Crypto Copilot berusaha keras untuk tampil seperti produk yang nyata dan bermanfaat. Ini mendeteksi nama token pada X, menampilkan data DexScreener, dan mendukung dompet terkenal seperti Phantom dan Solflare. Itu juga hanya meminta izin dompet umum.

Tapi backend mengungkapkan kebenaran. Ekstensi mengirimkan data ke domain yang tidak memiliki situs web nyata dan hanya menampilkan halaman kosong. Situs resminya diparkir dan tidak menghosting produk apa pun yang berfungsi. Bahkan domain backend memiliki kesalahan ejaan dalam namanya. Detail ini menunjukkan bahwa pembuat tidak berencana untuk membangun layanan perdagangan nyata.

Kodenya juga sangat tersembunyi dan sulit dibaca. Bagian-bagian kunci, termasuk alamat dompet penyerang, terkubur di dalam skrip yang panjang dan membingungkan.

Biaya Tersembunyi Bertambah Seiring Waktu

Ekstensi membebankan biaya kepada pengguna dengan dua cara. Untuk swap di bawah 2,6 SOL, dibutuhkan minimum 0,0013 SOL. Untuk perdagangan di atas jumlah itu, dibutuhkan 0,05 persen dari swap. Misalnya, perdagangan 100 SOL diam-diam akan mengirim 0,05 SOL ke penyerang.

Terkait: Perusahaan Kripto yang Didukung Trump Kehilangan CEO Lain Setelah Kesepakatan Token $1,5 Miliar

Sejauh ini, penyerang belum mengumpulkan banyak ($6,86), yang menunjukkan bahwa ekstensi belum menyebar luas. Tetapi sistem ini dirancang untuk menskalakan, yang berarti bahwa pedagang yang lebih besar atau sering dapat kehilangan jumlah yang signifikan tanpa menyadarinya.

Peringatan untuk Pengguna Solana

Para peneliti mengatakan ekstensi ini tidak pernah dimaksudkan untuk beroperasi sebagai produk nyata. Itu hanya ada untuk terlihat dapat dipercaya sambil mengambil biaya di latar belakang. Pengguna disarankan untuk menghindari ekstensi browser yang tidak dikenal, terutama yang meminta akses dompet atau menjanjikan perdagangan satu klik.

“Instal ekstensi dompet hanya dari halaman penerbit terverifikasi, bukan hasil pencarian Chrome Web Store,” kata penelitian tersebut.

Terkait: Ethereum Meningkatkan Batas Gas Menjadi 60M, Menskalakan Lapisan Dasar Menjelang Peningkatan Fusaka