- El hack: Una extensión de Chrome llamada «Crypto Copilot» añade en secreto una transferencia de comisiones a los intercambios de usuarios.
- El truco: oculta una instrucción SystemProgram.transfer dentro de transacciones legítimas de Raydium.
- La solución: Los usuarios deben verificar las instrucciones individuales de las transacciones en la vista previa de su cartera antes de firmar.
Una extensión maliciosa del navegador que se hace pasar por una herramienta de trading de Solana ha sido sorprendida desviando fondos de los usuarios modificando silenciosamente las cargas útiles de las transacciones.
Investigadores de seguridad identificaron la dañina extensión de Chrome para robar en secreto pequeñas cantidades de SOL a los usuarios de Solana durante los swaps. La extensión, llamada Crypto Copilot, parece una herramienta de trading normal pero añade discretamente una transferencia extra a cada operación.
Cómo funciona la extensión falsa
El equipo de investigación de amenazas de Socket descubrió que Crypto Copilot está disponible en la Chrome Web Store desde junio de 2024. Se anuncia como una herramienta que permite a la gente intercambiar tokens Solana directamente desde su feed X. La extensión muestra los precios de los tokens, se conecta a carteras populares y parece completamente segura a simple vista.
Sin embargo, cuando un usuario realiza un swap, la extensión construye la instrucción normal de swap de Raydium y luego añade en secreto una segunda instrucción. La instrucción extra envía SOL a una cartera controlada por el atacante sin informar al usuario. La cantidad mínima tomada es de 0,0013 SOL, o 0,05 por ciento del tamaño del swap si la operación es lo suficientemente grande.
Las carteras suelen mostrar solo el resumen principal de una transacción. La mayoría de los usuarios no ampliarán la lista completa de instrucciones, por lo que no notarán que se están firmando dos acciones separadas a la vez.
Por fuera parece legítimo; sospechoso por dentro
Crypto Copilot se esfuerza por parecer un producto real y útil. Detecta nombres de tokens en X, muestra datos de DexScreener y soporta carteras conocidas como Phantom y Solflare. Además, solo pide permisos para monederos comunes.
Pero el backend revela la verdad. La extensión envía datos a un dominio que no tiene un sitio web real y solo muestra una página en blanco. Su página web oficial está estacionada y no aloja ningún producto funcional. Incluso el dominio del backend tiene un error ortográfico en su nombre. Estos detalles muestran que los creadores no planeaban crear un servicio real de trading.
El código también está muy oculto y es difícil de leer. Partes clave, incluida la dirección de la cartera del atacante, están enterradas en largos y confusos scripts.
Las comisiones ocultas se acumulan con el tiempo
La extensión cobra a los usuarios de dos maneras. Para swaps por debajo de 2,6 SOL, toma el mínimo 0,0013 SOL. Para operaciones por encima de esa cantidad, se lleva el 0,05 por ciento del swap. Por ejemplo, un intercambio de 100 SOL enviaría secretamente 0,05 SOL al atacante.
Relacionado: Empresa cripto respaldada por Trump pierde a otro CEO tras un acuerdo de tokens de 1.500 millones de dólares
Hasta ahora, el atacante no ha cobrado mucho (6,86 $), lo que demuestra que la extensión aún no se ha extendido ampliamente. Pero el sistema está diseñado para escalar, lo que significa que los traders más grandes o frecuentes podrían perder cantidades significativas sin saberlo.
Advertencia para usuarios de Solana
Los investigadores afirman que esta extensión nunca estuvo pensada para funcionar como un producto real. Solo existe para parecer fiable mientras cobras comisiones en segundo plano. Se aconseja a los usuarios evitar extensiones de navegador desconocidas, especialmente aquellas que pidan acceso a la cartera o prometen trading con un solo clic.
«Instala extensiones de monedero solo desde las páginas de los editores verificados, no desde los resultados de búsqueda de Chrome Web Store», decía la investigación.
Relacionado: Ethereum aumenta el límite de gas a 60 millones, escalando la capa base antes de la actualización de Fusaka
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
