Por Vismaya V
4 min lectura
Una extensión de Chrome comercializada como una herramienta de trading conveniente ha estado extrayendo secretamente SOL de los swaps de usuarios desde junio pasado, inyectando tarifas ocultas en cada transacción mientras se disfraza como un asistente legítimo de trading de Solana.
La firma de ciberseguridad Socket descubrió la extensión maliciosa Crypto Copilot durante un "monitoreo continuo" de Chrome Web Store, según le dijo a Decrypt Kush Pandya, ingeniero de seguridad e investigador.
En un análisis de la extensión maliciosa publicado el miércoles, Pandya escribió que Crypto Copilot agrega silenciosamente una instrucción de transferencia adicional a cada swap de Solana, extrayendo un mínimo de 0,0013 SOL o 0,05% del monto de la operación hacia una billetera controlada por el atacante.
"Nuestro escáner de IA señaló múltiples indicadores: ofuscación agresiva de código, una dirección de Solana codificada incrustada en la lógica de transacciones, y discrepancias entre la funcionalidad declarada de la extensión y el comportamiento real de la red", señaló Pandya a Decrypt, agregando que "estas alertas activaron un análisis manual más profundo que confirmó el mecanismo oculto de extracción de tarifas".
La investigación señala riesgos en las herramientas cripto basadas en navegadores, particularmente extensiones que combinan integración de redes sociales con capacidades de firma de transacciones.
La extensión ha permanecido disponible en Chrome Web Store durante meses, sin ninguna advertencia a los usuarios sobre las tarifas no divulgadas enterradas en código fuertemente ofuscado, según indica el reporte.
"El comportamiento de las tarifas nunca se divulga en la página de Chrome Web Store, y la lógica que lo implementa está enterrada dentro de código fuertemente ofuscado", señaló Pandya.
Cada vez que un usuario intercambia tokens, la extensión genera la instrucción adecuada de swap de Raydium, pero discretamente añade una transferencia adicional que dirige SOL a la dirección del atacante.
Raydium es un exchange descentralizado y creador de mercado automatizado basado en Solana, mientras que un "swap de Raydium" simplemente se refiere a intercambiar un token por otro a través de sus pools de liquidez.
Los usuarios que instalaron Crypto Copilot, creyendo que optimizaría su trading de Solana, han estado pagando sin saberlo tarifas ocultas con cada swap, tarifas que nunca aparecieron en los materiales de marketing de la extensión o en la página de Chrome Web Store.
La interfaz muestra solo los detalles del swap, y las ventanas emergentes de la billetera resumen la transacción, por lo que los usuarios firman lo que parece ser un único swap, aunque ambas instrucciones se ejecutan simultáneamente on-chain.
La billetera del atacante ha recibido solo pequeñas cantidades hasta la fecha, una señal de que Crypto Copilot no ha alcanzado a muchos usuarios aún, en lugar de ser una indicación de que el exploit es de bajo riesgo, según el reporte.
El mecanismo de tarifas escala con el tamaño de la operación, ya que para swaps menores de 2,6 SOL, se aplica la tarifa mínima de 0,0013 SOL, y por encima de ese umbral, entra en efecto la tarifa porcentual de 0,05%, lo que significa que un swap de 100 SOL extraería 0,05 SOL, aproximadamente $10 a precios actuales.
El dominio principal de la extensión cryptocopilot[.]app está estacionado por el registro de dominios GoDaddy, mientras que el backend en crypto-coplilot-dashboard[.]vercel[.]app, notablemente mal escrito, muestra solo una página de marcador en blanco a pesar de recopilar datos de billeteras, según indica el reporte.
Socket ha enviado una solicitud de eliminación al equipo de seguridad de Chrome Web Store de Google, aunque la extensión permanecía disponible al momento de la publicación.
La plataforma ha instado a los usuarios a revisar cada instrucción antes de firmar transacciones, evitar extensiones de trading de código cerrado que soliciten permisos de firma, y migrar activos a billeteras limpias si instalaron Crypto Copilot.
El malware sigue siendo una preocupación creciente para los usuarios de criptomonedas. En septiembre, una variante de malware llamada ModStealer fue descubierta atacando billeteras cripto en Windows, Linux y macOS a través de anuncios falsos de reclutadores laborales, evadiendo la detección de los principales motores antivirus durante casi un mes.
El CTO de Ledger, Charles Guillemet, ha advertido previamente que atacantes habían comprometido una cuenta de desarrollador de NPM, con código malicioso intentando intercambiar silenciosamente direcciones de billeteras cripto durante transacciones a través de múltiples blockchains.
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.