- Der Hack: Eine Chrome-Erweiterung namens „Crypto Copilot“ fügt heimlich eine Gebührenüberweisung zu Nutzer-Swaps hinzu.
- Der Trick: Es verbirgt eine SystemProgram.transfer-Anweisung in legitimen Raydium-Transaktionen.
- Die Lösung: Nutzer müssen einzelne Transaktionsanweisungen in ihrer Wallet-Vorschau überprüfen, bevor sie unterschreiben.
Eine bösartige Browsererweiterung, die sich als Solana-Handelswerkzeug ausgibt, wurde dabei erwischt, wie sie Nutzern durch stillschweigend modifizierende Transaktionsnutzlasten Gelder abzieht.
Sicherheitsforscher identifizierten die schädliche Chrome-Erweiterung, die bei Tauschen heimlich kleine Mengen SOL von Solana-Nutzern stiehlt. Die Erweiterung, genannt Crypto Copilot, sieht aus wie ein normales Handelswerkzeug, fügt aber leise zu jedem Trade eine zusätzliche Übertragung hinzu.
Wie die gefälschte Erweiterung funktioniert
Das Threat Research Team von Socket stellte fest, dass Crypto Copilot seit Juni 2024 im Chrome Web Store verfügbar ist. Es wirbt als Werkzeug an, mit dem Menschen Solana-Token direkt aus ihrem X-Feed tauschen können. Die Erweiterung zeigt Tokenpreise an, verbindet sich mit beliebten Wallets und wirkt auf den ersten Blick völlig sicher.
Wenn ein Benutzer jedoch einen Swap durchführt, erstellt die Erweiterung die normale Raydium-Swap-Instruktion und fügt dann heimlich eine zweite Anweisung hinzu. Die zusätzliche Instruktion sendet SOL an eine von Angreifern kontrollierte Wallet, ohne den Benutzer zu informieren. Der Mindestbetrag, der genommen wird, beträgt 0,0013 SOL, also 0,05 Prozent der Swapgröße, wenn der Trade groß genug ist.
Wallets zeigen in der Regel nur die Hauptzusammenfassung einer Transaktion an. Die meisten Nutzer erweitern die vollständige Befehlsliste nicht, sodass sie nicht bemerken, dass zwei separate Aktionen gleichzeitig signiert werden.
Sieht von außen echt aus; Innerlich verdächtig
Crypto Copilot bemüht sich, wie ein echtes und hilfreiches Produkt zu wirken. Es erkennt Token-Namen auf X, zeigt DexScreener-Daten an und unterstützt bekannte Wallets wie Phantom und Solflare. Außerdem wird nur nach allgemeinen Wallet-Berechtigungen verlangt.
Aber das Backend offenbart die Wahrheit. Die Erweiterung sendet Daten an eine Domain, die keine echte Website hat und nur eine leere Seite anzeigt. Die offizielle Website ist geparkt und beherbergt kein funktionierendes Produkt. Sogar die Backend-Domain hat einen Rechtschreibfehler im Namen. Diese Details zeigen, dass die Schöpfer nicht planten, einen echten Handelsdienst aufzubauen.
Der Code ist außerdem stark versteckt und schwer lesbar. Wichtige Teile, einschließlich der Wallet-Adresse des Angreifers, sind in langen und verwirrenden Skripten versteckt.
Die versteckten Gebühren summieren sich im Laufe der Zeit
Die Erweiterung berechnet den Nutzern auf zwei Arten. Für Swaps unter 2,6 SOL nimmt er mindestens 0,0013 SOL. Bei Trades über diesem Betrag beträgt es 0,05 Prozent des Swaps. Zum Beispiel würde ein Trade mit 100 SOL heimlich 0,05 SOL an den Angreifer senden.
Bisher hat der Angreifer nicht viel gesammelt (6,86 $), was zeigt, dass sich die Verlängerung noch nicht weit verbreitet hat. Das System ist jedoch so konzipiert, dass es skalierbar ist, was bedeutet, dass größere oder häufige Händler erhebliche Verluste verlieren können, ohne es zu merken.
Warnung für Solana-Nutzer
Forscher sagen, dass diese Erweiterung nie als echtes Produkt funktionieren sollte. Es existiert nur, um vertrauenswürdig zu wirken, während Gebühren im Hintergrund übernommen werden. Es wird empfohlen, unbekannte Browsererweiterungen zu vermeiden, insbesondere solche, die Zugang zur Wallet verlangen oder Ein-Klick-Handel versprechen.
„Installieren Sie Wallet-Erweiterungen nur von verifizierten Publisher-Seiten, nicht von Suchergebnissen des Chrome Web Store“, heißt es in der Studie.