- Le piratage : Une extension Chrome nommée « Crypto Copilot » ajoute secrètement un transfert de frais aux échanges d’utilisateurs.
- L’astuce : il cache une instruction SystemProgram.transfer dans des transactions Raydium légitimes.
- La solution : Les utilisateurs doivent vérifier les instructions individuelles de transaction dans l’aperçu de leur portefeuille avant de signer.
Une extension de navigateur malveillante se faisant passer pour un outil de trading Solana a été prise en flagrant délit de siphonner des fonds des utilisateurs en modifiant silencieusement les charges utiles des transactions.
Les chercheurs en sécurité ont identifié l’extension Chrome nuisible pour voler secrètement de petites quantités de SOL aux utilisateurs de Solana lors des swaps. L’extension, nommée Crypto Copilot , ressemble à un outil de trading classique mais ajoute discrètement un transfert supplémentaire à chaque transaction.
Comment fonctionne la fausse extension
L’équipe de recherche sur les menaces de Socket a découvert que Crypto Copilot est disponible sur le Chrome Web Store depuis juin 2024. Il se présente comme un outil permettant aux gens d’échanger des jetons Solana directement depuis leur fil X. L’extension affiche les prix des jetons, se connecte aux portefeuilles populaires et paraît totalement sûre en surface.
Cependant, lorsqu’un utilisateur effectue un swap, l’extension construit l’instruction normale de swap Raydium puis ajoute secrètement une seconde instruction. L’instruction supplémentaire envoie SOL à un portefeuille contrôlé par l’attaquant sans en informer l’utilisateur. Le montant minimum pris est de 0,0013 SOL, ou 0,05 % de la taille du swap si la transaction est suffisamment importante.
Les portefeuilles affichent généralement uniquement le résumé principal d’une transaction. La plupart des utilisateurs n’élargiront pas la liste complète des instructions, ils ne remarqueront donc pas que deux actions distinctes sont signées en même temps.
Ça a l’air sérieux à l’extérieur ; suspect à l’intérieur
Crypto Copilot fait de son mieux pour paraître comme un produit réel et utile. Il détecte les noms de jetons sur X, affiche les données DexScreener et prend en charge des portefeuilles bien connus tels que Phantom et Solflare. Il ne demande également que des permissions de portefeuille communes.
Mais le backend révèle la vérité. L’extension envoie des données à un domaine qui n’a pas de véritable site web et n’affiche qu’une page blanche. Son site officiel est stationné et ne propose aucun produit fonctionnel. Même le domaine backend a une faute d’orthographe dans son nom. Ces détails montrent que les créateurs n’avaient pas prévu de créer un véritable service de trading.
Le code est également très caché et difficile à lire. Des éléments clés, y compris l’adresse du portefeuille de l’attaquant, sont enfouis dans de longs scripts confus.
Les frais cachés s’accumulent avec le temps
L’extension facture les utilisateurs de deux façons. Pour les swaps en dessous de 2,6 SOL, il faut le minimum de 0,0013 SOL. Pour les transactions supérieures à ce montant, cela prend 0,05 % du swap. Par exemple, un échange de 100 SOL enverrait secrètement 0,05 SOL à l’attaquant.
En lien : Une entreprise crypto soutenue par Trump perd un autre PDG après un échange de tokens de 1,5 milliard de dollars
Jusqu’à présent, l’attaquant n’a pas beaucoup collecté (6,86 $), ce qui montre que la prolongation ne s’est pas encore largement étendue. Mais le système est conçu pour évoluer, ce qui signifie que les traders plus grands ou fréquents pourraient perdre des sommes importantes sans le savoir.
Avertissement pour les utilisateurs de Solana
Les chercheurs affirment que cette extension n’a jamais été conçue pour fonctionner comme un véritable produit. Il existe uniquement pour paraître fiable tout en percevant des frais en arrière-plan. Il est conseillé aux utilisateurs d’éviter les extensions de navigateur inconnues, en particulier celles qui demandent l’accès au portefeuille ou promettent un échange en un clic.
« Installez les extensions de portefeuille uniquement à partir des pages d’éditeurs vérifiées, et non des résultats de recherche du Chrome Web Store », indique l’étude.
En lien : Ethereum augmente la limite de gaz à 60 millions, scalant la couche de base avant la mise à niveau de Fusaka
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
