Para peneliti keamanan siber telah menemukan sebuah ekstensi berbahaya di Chrome Web Store yang mampu menyisipkan transfer Solana secara tersembunyi ke dalam transaksi swap dan mengalihkan dana tersebut ke dompet kripto yang dikendalikan oleh penyerang. Ekstensi tersebut, bernama Crypto Copilot, pertama kali dipublikasikan oleh pengguna bernama “sjclark76” pada 7 Mei 2024. Pengembang menggambarkan ekstensi browser ini sebagai alat yang memungkinkan pengguna “perdagangan kripto langsung di X dengan wawasan waktu nyata dan eksekusi yang mulus.” Ekstensi ini memiliki 12 instalasi dan masih tersedia untuk diunduh hingga saat ini. “Di balik antarmuka, ekstensi ini menyisipkan transfer tambahan ke setiap swap Solana, mengalihkan minimal 0.0013 SOL atau 0.05% dari nilai perdagangan ke dompet penyerang yang telah di-hardcode,” kata peneliti keamanan dari Socket, Kush Pandya.
Secara khusus, ekstensi ini memasukkan kode yang disamarkan, yang aktif ketika pengguna melakukan swap di Raydium, memanipulasinya untuk menyuntikkan transfer SOL yang tidak diungkapkan ke dalam transaksi yang sama. Raydium adalah bursa terdesentralisasi (DEX) dan automated market maker (AMM) yang dibangun di atas blockchain Solana. Ekstensi ini bekerja dengan menambahkan metode utilitas tersembunyi SystemProgram.transfer ke setiap swap sebelum tanda tangan pengguna diminta, lalu mengirimkan biaya tersebut ke dompet yang telah di-hardcode di dalam kode. Biaya dihitung berdasarkan jumlah yang diperdagangkan, dengan biaya minimum 0.0013 SOL untuk perdagangan hingga 2.6 SOL, dan 0.05% dari jumlah swap jika lebih dari 2.6 SOL. Untuk menghindari deteksi, perilaku berbahaya tersebut disembunyikan menggunakan teknik seperti minifikasi dan penggantian nama variabel.
Ekstensi ini juga berkomunikasi dengan backend yang di-host pada domain “crypto-coplilot-dashboard.vercel.app” untuk mendaftarkan dompet yang terhubung, mengambil data poin dan referal, serta melaporkan aktivitas pengguna. Domain tersebut, bersama dengan “cryptocopilot.app,” tidak memiliki produk nyata apa pun. Yang menonjol dari serangan ini adalah pengguna benar-benar tidak mengetahui adanya biaya platform tersembunyi tersebut, dan antarmuka pengguna hanya menampilkan detail swap. Selain itu, Crypto Copilot memanfaatkan layanan sah seperti DexScreener dan Helius RPC untuk memberikan kesan legitimasi. “Karena transfer ini ditambahkan secara diam-diam dan dikirim ke dompet pribadi, bukan ke kas protokol, sebagian besar pengguna tidak akan pernah menyadarinya kecuali mereka memeriksa setiap instruksi sebelum menandatangani,” kata Pandya. “Infrastruktur pendukungnya tampaknya hanya dirancang untuk lolos tinjauan Chrome Web Store dan memberikan kesan legitimasi sambil diam-diam mengalirkan biaya di latar belakang.”
Sumber: https://thehackernews.com/
