惡意Chrome擴展程序通過隱藏額外轉帳竊取Solana交易

一個惡意的Google Chrome瀏覽器擴充功能正在讓用戶在Solana上交易，同時悄悄從每次交換中竊取費用到創建者的錢包。

根據網路安全公司Socket週二的報告，這個Google Chrome擴充功能允許用戶從其X社交媒體信息流中在Solana(SOL)上交易。與試圖竊取全部餘額的典型錢包清空惡意軟體不同，Socket發現Crypto Copilot"在每次Solana交換中注入額外轉帳，竊取最少0.0013枚SOL或交易的0.05%"。

在後端，Crypto Copilot使用去中心化交易所Raydium為用戶執行交換，但附加了第二條指令，將SOL從用戶轉移到攻擊者。用戶介面僅顯示交換詳情，而錢包確認螢幕"總結交易而不顯示單個指令"。

Socket表示："用戶簽署看似單筆交換的內容，但兩條指令在鏈上原子化執行。"

*Google Chrome擴充功能的特色圖片。來源：Chrome Web Store*

長期存在的操作

Socket指出，它已向Chrome Web Store安全團隊提交了該擴充功能的下架請求。這個惡意擴充功能存在時間相對較長，於2024年6月18日發布，但商店報告顯示截至發稿時僅有15名用戶。

Crypto Copilot將自己宣傳為一個便利工具，允許Solana交易者直接從Twitter執行交換。它承諾"讓您能夠立即抓住交易機會，無需在應用程式或平台之間切換"。

眾多惡意Google Chrome擴充功能中的最新案例

Google Chrome龐大的用戶群和可擴展設計長期以來使其擴充生態系統成為加密貨幣相關騙局的目標。本月早些時候，Socket警告稱Chrome Web Store中第四大最受歡迎的加密貨幣錢包擴充功能正在清空用戶資金。8月下旬，去中心化交易聚合器Jupiter表示，它已識別出另一個正在清空Solana錢包的惡意Chrome擴充功能。

2024年6月，據報導一名中國交易者在安裝名為Aggr的Chrome插件後損失了100萬美元。該擴充功能竊取瀏覽器cookie以劫持帳戶，包括訪問該交易者的幣安(Binance)帳戶。