Une extension Chrome malveillante cible les utilisateurs de Solana via des frais de transaction cachés

Executive Summary

Une extension Google Chrome malveillante, commercialisée sous le nom de Crypto Copilot, a été identifiée comme la source d'une campagne de vol sophistiquée ciblant les participants de l'écosystème Solana. L'extension, qui prétend faciliter le trading instantané depuis les flux de médias sociaux, injecte secrètement une instruction de transfert supplémentaire dans les swaps initiés par l'utilisateur sur l'échange décentralisé Raydium. Cette action non autorisée détourne un pourcentage de la valeur de la transaction vers un portefeuille contrôlé par l'attaquant. Le stratagème a été découvert par l'équipe de recherche sur les menaces de la firme de cybersécurité Socket, soulignant un risque de sécurité important pour les traders utilisant des outils basés sur le navigateur pour les activités DeFi.

The Event in Detail

L'extension Crypto Copilot, publiée sur le Chrome Web Store le 18 juin 2024, fonctionne en manipulant les transactions on-chain au moment de l'approbation de l'utilisateur. Alors que les utilisateurs voient une interface standard pour exécuter un swap sur Raydium, le code sous-jacent de l'extension modifie les données de transaction. Spécifiquement, elle ajoute une instruction supplémentaire qui transfère une portion des actifs de l'utilisateur à une adresse d'attaquant codée en dur.

L'impact financier par transaction est conçu pour être subtil, s'élevant à un minimum de 0.0013 SOL ou 0.05% de la valeur totale de l'échange, selon le montant le plus élevé. Cette approche lente et progressive vise à éviter une détection immédiate par l'utilisateur. Le vecteur d'attaque est particulièrement trompeur car il ne nécessite pas de compromettre directement les clés privées d'un utilisateur ; il exploite plutôt les autorisations accordées à l'extension du navigateur pour altérer les transactions qu'elle traite.

Market Implications

Cet incident a des implications négatives pour l'écosystème Solana et l'espace DeFi au sens large. Il érode la confiance des utilisateurs, non pas dans le protocole blockchain sous-jacent lui-même, mais dans les applications tierces qui constituent la couche front-end de l'écosystème. Les échanges décentralisés comme Raydium pourraient connaître une baisse de la confiance des utilisateurs, car les traders deviennent plus méfiants vis-à-vis des outils qu'ils utilisent pour interagir avec la plateforme.

Cette découverte pourrait contraindre les utilisateurs à adopter des pratiques de sécurité plus strictes, telles que l'examen minutieux des autorisations accordées aux extensions de navigateur et l'utilisation d'environnements dédiés et sécurisés pour l'exécution des transactions. Pour le marché, cela rappelle que la sécurité des transactions est un problème multicouche qui s'étend au-delà de la blockchain pour inclure les portefeuilles, les interfaces et les logiciels tiers. L'incapacité à résoudre ces vulnérabilités pourrait freiner l'adoption grand public en augmentant le risque perçu d'engagement avec les protocoles DeFi.

Expert Commentary

La brèche de sécurité a été identifiée et détaillée pour la première fois par l'Équipe de Recherche sur les Menaces de Socket. Selon leurs découvertes, l'extension a été explicitement conçue pour s'attaquer aux traders de Solana.

"Derrière l'interface, l'extension injecte un transfert supplémentaire dans chaque swap Solana, siphonnant un minimum de 0.0013 SOL ou 0.05% du montant de l'échange vers un portefeuille contrôlé par l'attaquant et codé en dur," a déclaré un rapport des chercheurs de Socket.

Leur analyse a confirmé que l'extension a réussi à manipuler les transactions de swap sur Raydium, un populaire teneur de marché automatisé (AMM) sur Solana, en exploitant la confiance que les utilisateurs accordent à de tels outils de trading.

Broader Context

Cette attaque est emblématique d'une catégorie croissante de menaces de sécurité dans le Web3 qui ciblent les applications orientées utilisateur plutôt que l'infrastructure centrale. Contrairement aux exploits de protocole à grande échelle, ces attaques se concentrent sur la compromission d'utilisateurs individuels par des moyens trompeurs, une tactique parfois appelée "empoisonnement de transaction". L'utilisation d'une extension de navigateur comme vecteur est une stratégie courante, car elles nécessitent souvent des autorisations étendues pour fonctionner, créant ainsi une porte d'accès potentielle pour le code malveillant. Cet événement souligne le besoin critique d'audits de sécurité complets et d'éducation des utilisateurs concernant les risques associés aux outils de gestion de crypto basés sur navigateur. Il renforce le principe selon lequel chaque composant d'un système décentralisé, de l'interface utilisateur au contrat intelligent, est un point de défaillance potentiel.