Chercheurs en cybersécurité chez Socket découvert l’extension Chrome malveillante Crypto Copilot, qui injecte des frais de transfert Solana cachés dans les transactions d’échange Raydium sur le Chrome Web Store. Publié par l’utilisateur sjclark76 le 7 mai 2024, l’extension compte 12 installations et reste disponible en téléchargement. L’extension se présente comme un outil permettant d’échanger des crypto-monnaies directement sur X, fournissant des informations en temps réel et une exécution transparente. Derrière cette façade, Crypto Copilot manipule les transactions basées sur Solana exécutées sur Raydium, un échange décentralisé et un teneur de marché automatisé construit sur le Solana blockchain. Lorsque les utilisateurs lancent un échange via Raydium, l’extension active un code obscurci qui ajoute une instruction supplémentaire à la transaction avant qu’elle n’atteigne l’étape de signature de l’utilisateur. Cette instruction injectée est constituée d’un Méthode SystemProgram.transferqui dirige les fonds du portefeuille de l’utilisateur vers une adresse codée en dur contrôlée par l’attaquant. Le montant du transfert constitue un minimum de 0,0013 SOL ou 0,05 pour cent de la valeur totale des échanges, selon la valeur la plus élevée. Pour les swaps dépassant 2,6 SOL, les frais s’élèvent à 2,6 SOL plus 0,05 pour cent du montant du swap. Le chercheur en sécurité Socket, Kush Pandya, a détaillé le mécanisme dans un rapport publié mardi, déclarant : « Derrière l’interface, l’extension injecte un transfert supplémentaire dans chaque échange Solana, siphonnant un minimum de 0,0013 SOL ou 0,05 % du montant de la transaction vers un portefeuille codé en dur et contrôlé par l’attaquant. » Pour échapper à la détection, le code malveillant utilise des techniques de minification et renomme les variables, ce qui rend le script difficile à analyser. Les utilisateurs ne rencontrent aucune indication visible de cette modification au cours du processus de transaction. L’interface utilisateur de l’extension affiche uniquement les détails du swap standard, en omettant toute référence aux frais cachés. En conséquence, les individus approuvent généralement la transaction sans avoir conscience de la déduction, à moins qu’ils n’examinent manuellement chaque instruction avant de la signer. Crypto Copilot s’intègre à un serveur backend sur crypto-coplilot-dashboard.vercel.app, où il enregistre les portefeuilles connectés, récupère les points et les informations de référence, et enregistre les activités des utilisateurs. Le domaine associé cryptocopilot.app ne sert aucun produit réel et fonctionne uniquement comme une infrastructure trompeuse. L’extension renforce encore son apparence de légitimité en intégrant les services de DexScreener pour les données de marché et de Helius RPC pour les interactions blockchain. La destination des fonds siphonnés est un portefeuille personnel, distinct de toute trésorerie protocolaire, ce qui complique la vérification des utilisateurs. Pandya a souligné cette subtilité, notant : « Comme ce transfert est ajouté silencieusement et envoyé vers un portefeuille personnel plutôt que vers une trésorerie protocolaire, la plupart des utilisateurs ne le remarqueront jamais à moins d’inspecter chaque instruction avant de signer. » Il a ajouté que la configuration globale donne la priorité à l’évasion de l’examen minutieux de la plate-forme, observant : « L’infrastructure environnante semble conçue uniquement pour passer l’examen du Chrome Web Store et fournir un vernis de légitimité tout en siphonnant les frais en arrière-plan. »
