币态网一款恶意的Google Chrome浏览器扩展程序正在让用户在Solana上进行交易,同时悄悄从每次交换中窃取费用到创建者的钱包。根据网络安全公司Socket的报告,这个扩展程序允许用户通过其社交媒体信息流在Solana(SOL)上进行交易。与试图窃取全部余额的典型恶意软件不同,Socket发现名为Crypto Copilot的扩展在每次Solana交换中注入额外转账,窃取至少0.0013枚SOL或交易的0.05%。
在后台,Crypto Copilot利用去中心化交易所Raydium为用户执行交换,但同时附加了一条指令,将SOL从用户转移到攻击者的账户。用户界面仅显示交换的基本信息,而钱包确认屏幕则“总结交易而不显示单个指令”。
Socket表示:“用户签署看似单笔交换的内容,但实际上两条指令在链上原子化执行。”
长期存在的操作
Socket已向Chrome Web Store的安全团队提交了下架请求。该恶意扩展程序存在时间较长,自2024年6月18日发布以来,商店报告显示截至发稿时仅有15名用户。
Crypto Copilot自称是一个便利工具,允许Solana交易者直接从社交媒体平台进行交易。它承诺“让您能够立即抓住交易机会,无需在应用程序或平台之间切换”。
众多恶意Google Chrome扩展程序中的最新案例
Google Chrome庞大的用户基础和可扩展设计使其扩展生态系统长期以来成为加密货币相关骗局的目标。本月早些时候,Socket警告称Chrome Web Store中第四大最受欢迎的加密货币钱包扩展程序正在清空用户资金。8月下旬,去中心化交易聚合器Jupiter表示,已识别出另一个正在清空Solana钱包的恶意Chrome扩展程序。
2024年6月,有报道称一名中国交易者在安装名为Aggr的Chrome插件后损失了100万美元。该扩展程序通过窃取浏览器cookie来劫持账户,包括访问该交易者的币安(Binance)账户。
