Các nhà nghiên cứu an ninh mạng đã phát hiện một tiện ích mở rộng độc hại mới trên Chrome Web Store có khả năng lén lút chèn một giao dịch chuyển khoản Solana vào một giao dịch hoán đổi và chuyển tiền đến ví tiền điện tử do kẻ tấn công kiểm soát.
Tiện ích mở rộng này, có tên là Crypto Copilot, lần đầu tiên được xuất bản bởi người dùng "sjclark76" vào ngày 7 tháng 5 năm 2024. Nhà phát triển mô tả tiện ích bổ sung trình duyệt này có khả năng "giao dịch crypto trực tiếp trên X với thông tin chi tiết theo thời gian thực và thực hiện liền mạch". Tiện ích mở rộng này đã có 12 lượt cài đặt và vẫn có sẵn để tải xuống tại thời điểm viết bài.
"Đằng sau giao diện, tiện ích mở rộng chèn thêm một giao dịch chuyển khoản vào mỗi Raydium swap của Solana, rút tối thiểu 0.0013 SOL hoặc 0.05% số tiền giao dịch vào một ví tiền điện tử do kẻ tấn công kiểm soát được mã hóa cứng," nhà nghiên cứu bảo mật Kush Pandya của Socket cho biết trong một báo cáo hôm thứ Ba.
Cụ thể, tiện ích mở rộng này tích hợp mã bị xáo trộn trở nên hoạt động khi người dùng thực hiện Raydium swap, thao túng nó để chèn một giao dịch chuyển khoản SOL không được tiết lộ vào cùng một giao dịch đã ký. Raydium là một sàn giao dịch phi tập trung (DEX) và công cụ tạo lập thị trường tự động (AMM) được xây dựng trên blockchain Solana.
Nó hoạt động bằng cách thêm một phương thức tiện ích SystemProgram.transfer ẩn vào mỗi giao dịch hoán đổi trước khi yêu cầu chữ ký của người dùng, và gửi phí đến một ví tiền điện tử được mã hóa cứng trong mã. Phí được tính toán dựa trên số tiền giao dịch, thu tối thiểu 0.0013 SOL cho các giao dịch và 2.6 SOL cùng 0.05% số tiền hoán đổi nếu nó lớn hơn 2.6 SOL. Để tránh bị phát hiện, hành vi độc hại được che giấu bằng các kỹ thuật như minification và variable renaming.
Tiện ích mở rộng cũng giao tiếp với một backend được lưu trữ trên tên miền "crypto-coplilot-dashboard.vercel[.]app" để đăng ký các ví đã kết nối, lấy điểm và dữ liệu giới thiệu, cũng như báo cáo hoạt động của người dùng. Tên miền này, cùng với "cryptocopilot[.]app", không lưu trữ bất kỳ sản phẩm thực tế nào.
Điều đáng chú ý về cuộc tấn công là người dùng hoàn toàn không biết về khoản phí nền tảng ẩn, và giao diện người dùng chỉ hiển thị chi tiết của giao dịch hoán đổi. Hơn nữa, Crypto Copilot còn sử dụng các dịch vụ hợp pháp như DexScreener và Helius RPC để tạo vẻ ngoài đáng tin cậy.
"Bởi vì giao dịch chuyển khoản này được thêm vào một cách âm thầm và gửi đến một ví cá nhân chứ không phải kho bạc của giao thức, hầu hết người dùng sẽ không bao giờ nhận thấy nó trừ khi họ kiểm tra từng lệnh trước khi ký," Pandya cho biết. "Cơ sở hạ tầng xung quanh dường như được thiết kế chỉ để vượt qua đánh giá của Chrome Web Store và tạo vẻ ngoài hợp pháp trong khi âm thầm rút phí ở chế độ nền."
