Pesquisadores de segurança cibernética da Socket descoberto a extensão maliciosa do Chrome, Crypto Copilot, que injeta taxas ocultas de transferência de Solana em transações de swap Raydium na Chrome Web Store. Publicado pelo usuário sjclark76 em 7 de maio de 2024, a extensão tem 12 instalações e permanece disponível para download. A extensão se apresenta como uma ferramenta para negociação de criptomoedas diretamente no X, fornecendo insights em tempo real e execução perfeita. Por trás dessa fachada, o Crypto Copilot manipula transações baseadas em Solana executadas no Raydium, uma bolsa descentralizada e criador de mercado automatizado construído no Solana blockchain. Quando os usuários iniciam uma troca através do Raydium, a extensão ativa um código ofuscado que anexa uma instrução adicional à transação antes que ela atinja o estágio de assinatura do usuário. Esta instrução injetada consiste em um Método SystemProgram.transferque direciona fundos da carteira do usuário para um endereço codificado controlado pelo invasor. O valor da transferência constitui um mínimo de 0,0013 SOL ou 0,05 por cento do valor total da negociação, o que for maior. Para swaps superiores a 2,6 SOL, a taxa aumenta para 2,6 SOL mais 0,05% do valor do swap. O pesquisador de segurança de soquete Kush Pandya detalhou o mecanismo em um relatório divulgado na terça-feira, afirmando: “Por trás da interface, a extensão injeta uma transferência extra em cada troca Solana, desviando um mínimo de 0,0013 SOL ou 0,05% do valor da negociação para uma carteira codificada controlada pelo invasor”. Para evitar a detecção, o código malicioso emprega técnicas de minificação e renomeia variáveis, dificultando a análise do script. Os usuários não encontram nenhuma indicação visível desta alteração durante o processo de transação. A interface do usuário da extensão exibe apenas os detalhes padrão do swap, omitindo qualquer referência à taxa oculta. Como resultado, os indivíduos normalmente aprovam a transação sem saber da dedução, a menos que revisem manualmente cada instrução antes de assiná-la. O Crypto Copilot se integra a um servidor backend em crypto-coplilot-dashboard.vercel.app, onde registra carteiras conectadas, recupera pontos e informações de referência e registra as atividades do usuário. O domínio associado cryptocopilot.app não serve nenhum produto real e funciona apenas como infraestrutura enganosa. A extensão reforça ainda mais sua aparência de legitimidade ao incorporar serviços do DexScreener para dados de mercado e Helius RPC para interações blockchain. O destino dos fundos desviados é uma carteira pessoal, distinta de qualquer tesouraria de protocolo, o que dificulta a verificação do usuário. Pandya enfatizou essa sutileza, observando: “Como essa transferência é adicionada silenciosamente e enviada para uma carteira pessoal, em vez de um tesouro de protocolo, a maioria dos usuários nunca notará isso, a menos que inspecionem cada instrução antes de assinar”. Ele acrescentou que a configuração geral prioriza a evasão do escrutínio da plataforma, observando: “A infraestrutura circundante parece projetada apenas para passar na revisão da Chrome Web Store e fornecer uma aparência de legitimidade enquanto desvia taxas em segundo plano”.
