Extensión maliciosa de Chrome ataca a usuarios de Solana a través de tarifas de transacción ocultas

Executive Summary

Una extensión maliciosa de Google Chrome, comercializada como Crypto Copilot, ha sido identificada como la fuente de una sofisticada campaña de robo dirigida a los participantes del ecosistema de Solana. La extensión, que afirma facilitar el comercio instantáneo desde las redes sociales, inyecta secretamente una instrucción de transferencia adicional en los swaps iniciados por el usuario en el intercambio descentralizado Raydium. Esta acción no autorizada desvía un porcentaje del valor de la transacción a una billetera controlada por el atacante. El esquema fue descubierto por el equipo de investigación de amenazas de la firma de ciberseguridad Socket, destacando un riesgo de seguridad significativo para los comerciantes que utilizan herramientas basadas en navegador para actividades DeFi.

The Event in Detail

La extensión Crypto Copilot, publicada en la Chrome Web Store el 18 de junio de 2024, opera manipulando las transacciones en cadena en el punto de aprobación del usuario. Si bien los usuarios ven una interfaz estándar para ejecutar un swap en Raydium, el código subyacente de la extensión modifica los datos de la transacción. Específicamente, añade una instrucción adicional que transfiere una parte de los activos del usuario a una dirección de atacante codificada.

El impacto financiero por transacción está diseñado para ser sutil, ascendiendo a un mínimo de 0.0013 SOL o el 0.05% del valor total del intercambio, lo que sea mayor. Este enfoque lento y discreto tiene como objetivo evitar la detección inmediata por parte del usuario. El vector de ataque es particularmente engañoso ya que no requiere comprometer directamente las claves privadas de un usuario; más bien, aprovecha los permisos otorgados a la extensión del navegador para alterar las transacciones que procesa.

Market Implications

Este incidente tiene implicaciones negativas para el ecosistema de Solana y el espacio DeFi en general. Socava la confianza del usuario, no en el protocolo blockchain subyacente en sí, sino en las aplicaciones de terceros que forman la capa orientada al usuario del ecosistema. Los intercambios descentralizados como Raydium pueden experimentar una disminución en la confianza del usuario, ya que los comerciantes se vuelven más cautelosos con las herramientas que utilizan para interactuar con la plataforma.

El descubrimiento puede obligar a los usuarios a adoptar prácticas de seguridad más estrictas, como examinar los permisos otorgados a las extensiones del navegador y utilizar entornos dedicados y seguros para ejecutar transacciones. Para el mercado, sirve como un recordatorio de que la seguridad de las transacciones es un problema de múltiples capas que se extiende más allá de la cadena de bloques para incluir billeteras, interfaces y software de terceros. La falta de resolución de estas vulnerabilidades podría inhibir la adopción generalizada al aumentar el riesgo percibido de interactuar con los protocolos DeFi.

Expert Commentary

La brecha de seguridad fue identificada y detallada por primera vez por el Equipo de Investigación de Amenazas de Socket. Según sus hallazgos, la extensión fue diseñada explícitamente para atacar a los comerciantes de Solana.

"Detrás de la interfaz, la extensión inyecta una transferencia adicional en cada swap de Solana, desviando un mínimo de 0.0013 SOL o el 0.05% del monto de la operación a una billetera controlada por el atacante y codificada," afirmó un informe de los investigadores de Socket.

Su análisis confirmó que la extensión manipuló con éxito las transacciones de swap en Raydium, un popular creador de mercado automatizado (AMM) en Solana, explotando la confianza que los usuarios depositan en dichas herramientas de comercio.

Broader Context

Este ataque es emblemático de una clase creciente de amenazas de seguridad en Web3 que apuntan a aplicaciones orientadas al usuario en lugar de la infraestructura central. A diferencia de las explotaciones de protocolos a gran escala, estos ataques se centran en comprometer a usuarios individuales a través de medios engañosos, una táctica a veces denominada "envenenamiento de transacciones". El uso de una extensión de navegador como vector es una estrategia común, ya que a menudo requieren amplios permisos para funcionar, creando una puerta de entrada potencial para código malicioso. Este evento subraya la necesidad crítica de auditorías de seguridad exhaustivas y educación del usuario con respecto a los riesgos asociados con las herramientas de gestión de criptomonedas basadas en navegador. Refuerza el principio de que cada componente en un sistema descentralizado, desde la interfaz de usuario hasta el contrato inteligente, es un punto potencial de falla.