Une extension Chrome malveillante, Crypto Copilot, permet de trader Solana depuis X (Twitter) mais vole secrètement une partie de chaque swap.
La société de cybersécurité Socket a découvert que Crypto Copilot ajoute un transfert caché à chaque échange. Au lieu de vider les portefeuilles, il vole 0,0013 SOL ou 0,05 % par transaction.
Il utilise Raydium pour exécuter les swaps mais ajoute en secret une instruction transférant du SOL à l’attaquant. L’utilisateur voit seulement le swap et la confirmation du portefeuille ne révèle pas les instructions cachées.
« Les utilisateurs signent ce qui semble être un seul swap, mais les deux instructions s’exécutent atomiquement sur la blockchain », explique Socket.
L’extension est en ligne depuis le 18 juin 2024, avec environ 15 utilisateurs. Elle se vend comme un outil pratique pour des swaps Solana instantanés sur Twitter, mais siphonne silencieusement des fonds.
Les extensions Chrome malveillantes ciblant la crypto se multiplient. Ce mois-ci, Socket a averti d’une autre extension volant des fonds. En août, Jupiter a trouvé un plugin vidant des portefeuilles Solana. En juin 2024, un trader chinois a perdu 1 million de dollars à cause d’un plugin volant les cookies du navigateur et l’accès à Binance.