악성 Google Chrome 브라우저 확장 프로그램을 통해 사용자는 솔라나(Solana) 에서 거래할 수 있으며, 모든 스왑에서 수수료가 조용히 제작자의 지갑으로 횡령됩니다.
사이버 보안 회사 소켓(Socket)의 화요일 보고서에 따르면, 구글 크롬 확장 프로그램을 이용하면 X 소셜 미디어 피드에서 솔라나(Solana) (솔라나(SOL))로 거래할 수 있습니다. 전체 잔액을 훔치려는 일반적인 지갑 고갈 악성코드와 달리, 크립토 코파일럿(Crypto Copilot)은 "모든 솔라나(Solana) 스왑에 추가 이체를 주입하여 최소 0.0013 솔라나(SOL) 또는 거래 금액의 0.05%를 빼돌린다"고 소켓은 밝혔습니다.
백엔드에서 Crypto Copilot은 탈중앙거래소(DEX) 레이디움(Raydium) 사용하여 사용자를 대신하여 스왑을 수행하지만, 사용자의 솔라나(SOL) 공격자에게 전송하는 두 번째 명령을 추가합니다. 사용자 인터페이스에는 스왑 세부 정보만 표시되는 반면, 지갑 확인 화면에는 "개별 명령은 표시하지 않고 거래 내역만 요약"합니다.
소켓은 "사용자는 단일 스왑처럼 보이는 것에 서명하지만, 두 명령어 모두 체인상에서 원자적으로 실행됩니다."라고 밝혔습니다.
관련: 올해 주의해야 할 5가지 '교활한' 암호화폐 사기
장기간 운영
소켓은 Chrome 웹 스토어 보안팀에 해당 확장 프로그램에 대한 삭제 요청을 제출했다고 밝혔습니다. 이 악성 확장 프로그램은 2024년 6월 18일에 게시되어 비교적 오래 지속되었지만, 스토어 측은 이 글 작성 시점을 기준으로 해당 확장 프로그램의 사용자가 15명에 불과하다고 밝혔습니다.
Crypto Copilot은 솔라나(Solana) 트레이더들이 트위터에서 직접 스왑을 체결할 수 있는 편리한 도구라고 홍보합니다. "앱이나 플랫폼을 전환할 필요 없이 즉시 거래 기회에 대응할 수 있도록 지원"한다고 약속합니다.
관련: NPM 공급망 공격으로 주요 이더리움 네임서비스(ENS) 및 암호화 라이브러리가 손상됨
수많은 악성 Google Chrome 확장 프로그램 중 최신 버전
구글 크롬의 방대한 사용자 기반과 확장 가능한 디자인은 오랫동안 확장 프로그램 생태계를 암호화폐 중심 사기의 표적이 되게 했습니다. 이달 초, 소켓(Socket)은 크롬 웹 스토어에서 네 번째로 인기 있는 암호화폐 지갑 확장 프로그램이 사용자 자금을 고갈시키고 있다고 경고했습니다. 8월 말, 탈중앙거래소(DEX) 주피터(Jupiter)는 솔라나(Solana) 지갑을 비우는 또 다른 악성 크롬 확장 프로그램을 발견했다고 발표했습니다.
2024년 6월, 한 중국 트레이더가 Aggr이라는 크롬 플러그인을 설치한 후 100만 달러의 손실을 입었다는 보고가 있었습니다. 이 확장 프로그램은 브라우저 쿠키를 훔쳐 트레이더의 바이낸스 계좌 접근 권한을 포함한 계정을 탈취했습니다.
매거진: '도와주세요! 로봇 청소기가 제 비트코인을 훔쳐가고 있어요': 스마트 기기가 공격할 때
