HackerNews 编译,转载请注明出处:
网络安全研究人员在 Chrome 网上应用店发现一款新型恶意扩展程序,其可在 Raydium 兑换交易中秘密注入 Solana 转账操作,并将资金转移至攻击者控制的加密货币钱包。
这款名为 Crypto Copilot 的扩展程序由用户 “sjclark76” 于 2024 年 5 月 7 日首次发布。开发者称该浏览器插件支持 “在 X 平台直接交易加密货币,提供实时洞察与无缝执行体验”。目前该扩展程序已有 12 次安装量,截至发稿时仍可下载。
“该扩展程序在界面背后,会在每笔 Solana 兑换交易中注入额外转账操作,窃取至少 0.0013 枚 SOL(Solana 代币)或交易金额的 0.05%,并转入硬编码在程序中的攻击者控制钱包,”Socket 安全研究员库什・潘迪亚在周二发布的报告中表示。
具体而言,该扩展程序包含混淆代码,当用户执行 Raydium 兑换时,这些代码会被激活,通过篡改交易流程在同一签名交易中注入未披露的 SOL 转账操作。Raydium 是基于 Solana 区块链构建的去中心化交易所与自动化做市商。
攻击原理为:在请求用户签名前,向每笔兑换交易附加隐藏的 SystemProgram.transfer 工具方法,将手续费转入代码中嵌入的硬编码钱包。手续费按交易金额计算:交易金额对应的手续费低于 0.0013 SOL 时,按最低 0.0013 SOL 收取;超过 2.6 SOL 时,收取 2.6 SOL 与兑换金额 0.05% 中的较高值。为躲避检测,攻击者通过代码压缩、变量重命名等技术隐藏恶意行为。
该扩展程序还与托管在 “crypto-coplilot-dashboard.vercel [.] app” 域名的后端服务器通信,用于注册已连接钱包、获取积分与推荐数据及上报用户活动。该域名与 “cryptocopilot [.] app” 均未提供任何真实产品服务。
此次攻击的显著特点是用户完全不知情:界面仅显示兑换交易详情,对隐藏平台费无任何提示。此外,Crypto Copilot 借助 DexScreener、Helius RPC 等合法服务,营造可信假象。
“由于该转账操作是秘密添加的,且资金转入个人钱包而非协议国库,大多数用户除非在签名前检查每一项交易指令,否则永远不会发现异常,” 潘迪亚指出,“相关配套基础设施的设计目的,仅为通过 Chrome 网上应用店审核并营造合法表象,同时在后台窃取手续费。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
