一款恶意的谷歌 Chrome 浏览器扩展程序允许用户在Solana上进行交易,同时悄悄地从每次交易中抽取一部分费用到创建者的钱包中。
据网络安全公司 Socket 周二发布的一份报告显示,谷歌 Chrome 浏览器扩展程序允许用户通过其社交媒体动态消息进行Solana (SOL) 交易。Socket 发现,与试图窃取全部余额的典型钱包恶意软件不同,Crypto Copilot “会在每次Solana交易中注入一笔额外的转账,至少会窃取 0.0013 SOL ,即交易额的 0.05%”。
在后端,Crypto Copilot 使用去中心化交易所Raydium为用户执行兑换操作,但会附加第二条指令,将SOL从用户转移到攻击者。用户界面仅显示兑换详情,而钱包确认屏幕“仅汇总交易信息,不显示具体指令”。
Socket 表示:“用户签署的看似是一次单一的交换操作,但两条指令都在链上原子地执行。”
相关阅读:今年需要警惕的5种“阴险”加密货币骗局
一项长期运作
Socket 指出,他们已向 Chrome 网上应用商店安全团队提交了下架该扩展程序的请求。这款恶意扩展程序存在时间相对较长,于 2024 年 6 月 18 日发布,但截至发稿时,应用商店报告显示其用户仅有 15 人。
Crypto Copilot 自称是一款便捷工具,允许Solana交易者直接通过 Twitter 执行互换交易。它承诺“让您无需在不同应用程序或平台之间切换,即可立即把握交易机会”。
相关报道: NPM供应链攻击导致主要ENS和加密库受损
这是众多恶意谷歌Chrome扩展程序中的最新一款
谷歌Chrome浏览器庞大的用户群和可扩展的设计,长期以来使其成为加密货币诈骗的目标。本月初,Socket发出警告,Chrome网上应用商店中排名第四的加密货币钱包扩展程序正在盗取用户资金。8月下旬,去中心化交易所聚合平台Jupiter表示,他们发现了另一个恶意Chrome扩展程序,该程序会清空Solana钱包。
据报道,2024年6月,一名中国交易员在安装了一款名为Aggr的Chrome插件后损失了100万美元。该插件会窃取浏览器cookie来劫持账户,包括访问该交易员的币安账户。
杂志: “救命!我的扫地机器人偷走了我的比特币”:智能设备攻击事件
