Tiện ích giao dịch 'một cú nhấp chuột' hóa ra là cái bẫy to đùng mang tên Crypto Copilot

Duy Linh · 11:40

Các nhà nghiên cứu bảo mật tại Socket đã phát hiện một tiện ích mở rộng Chrome lừa đảo có tên Crypto Copilot, được ngụy trang như công cụ giao dịch Solana hợp pháp nhưng bí mật rút SOL khỏi giao dịch hoán đổi của người dùng. Tiện ích này được phát hành ngày 18/6/2024, chèn các lệnh chuyển tiền ẩn để trích phí không công khai trong mọi giao dịch mà người dùng thực hiện.

Tiện ích mở rộng Chrome độc hại bí mật thêm phí SOL ẩn vào giao dịch hoán đổi Solana
Crypto Copilot được quảng bá trên Chrome Web Store như công cụ cho phép giao dịch “ngay lập tức từ nguồn cấp dữ liệu X”, tích hợp với các ví Solana phổ biến như Phantom và Solflare, hiển thị dữ liệu token từ DexScreener và định tuyến giao dịch qua Raydium. Với những người theo dõi các token mới ra mắt trên X, lời hứa giao dịch chỉ bằng một cú nhấp chuột càng khiến tiện ích này dễ gây tin tưởng.

Giao dịch.
Tuy nhiên, phần mô tả trên Chrome Web Store lại không nhắc đến bất kỳ khoản phí hay lệnh chuyển tiền ẩn nào, chi tiết then chốt trong thiết kế độc hại của tiện ích.

Cách Crypto Copilot rút SOL một cách kín đáo

Đằng sau giao diện thân thiện là đoạn mã được tối ưu để che giấu hành vi trích phí. Sau khi tạo các lệnh hoán đổi Raydium hợp pháp, tiện ích mở rộng sẽ tính toán phí dựa trên tham số cố định và thêm một lệnh SystemProgram.transfer ẩn để gửi SOL đến ví của kẻ tấn công:
Bjeida13AjgPaUEU9xrh1iQMwxZC7QDdvSfg73oxQff7.
Cấu trúc phí được thiết lập theo nguyên tắc lấy mức cao hơn giữa 0,0013 SOL hoặc 0,05% giá trị hoán đổi.
• Nghĩa là giao dịch dưới 2,6 SOL sẽ chịu mức phí cố định.
• Giao dịch lớn sẽ bị tính phí theo tỷ lệ.
Ví dụ: Hoán đổi 100 SOL sẽ bị trừ 0,05 SOL gửi thẳng đến ví hacker.

Do giao dịch chuyển tiền ẩn được nhúng vào cùng giao dịch hoán đổi hợp pháp, đa số ví không hiển thị chi tiết từng lệnh. Người dùng vì vậy có thể ký nhầm một giao dịch gồm cả lệnh hoán đổi và lệnh chuyển tiền, được thực thi nguyên tử trên chuỗi.

Hệ thống hạ tầng mờ ám đứng sau tiện ích mở rộng

Phân tích cho thấy Crypto Copilot duy trì kết nối đến phần phụ trợ crypto-coplilot-dashboard[.]vercel[.]app để đăng ký ví, theo dõi điểm và báo cáo giới thiệu. Tuy vậy, điều tra chỉ ra tên miền phụ trợ và trang chính cryptocopilot[.]app đều không chứa sản phẩm thật.

Tên miền phụ trợ chỉ tải trang trống, còn trang chính được lưu trữ bởi GoDaddy. Lỗi đánh máy “coplilot” thay vì “copilot” càng cho thấy đây là cơ sở hạ tầng dùng một lần thường thấy trong các chiến dịch độc hại.

Miền phụ trợ được phần mở rộng sử dụng sẽ crypto-coplilot-dashboard[.]vercel.app tải .
Hoạt động trên chuỗi cho thấy số giao dịch chuyển phí vào ví của kẻ tấn công hiện còn thấp, có thể vì tiện ích chưa được phân phối rộng, chứ không phản ánh rủi ro nhỏ. Cơ chế của tiện ích mở rộng vẫn mở rộng theo khối lượng giao dịch, khiến người giao dịch thường xuyên hoặc nắm giữ nhiều tài sản có nguy cơ mất phí tích lũy đáng kể theo thời gian.

Khuyến nghị bảo mật dành cho người dùng

Tại thời điểm bài viết được công bố, Crypto Copilot vẫn đang xuất hiện trên Chrome Web Store dù Socket đã gửi yêu cầu gỡ bỏ đến nhóm bảo mật của Google.
Người dùng nên:
• Tránh cài đặt tiện ích mở rộng giao dịch nguồn đóng yêu cầu quyền ký.
• Chỉ cài tiện ích ví từ trang chính thức của nhà phát hành thay vì kết quả tìm kiếm.
• Nếu đã cài Crypto Copilot, hãy chuyển tài sản sang ví sạch và thu hồi toàn bộ quyền truy cập của các trang web đã kết nối.
• Kiểm tra kỹ từng lệnh giao dịch trước khi ký, đặc biệt trên Solana, và chú ý các lệnh SystemProgram.transfer bất thường.
• Luôn cảnh giác vì mô hình tấn công tương tự có thể xuất hiện ở các tiện ích giao dịch Solana và EVM khác.
(gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/chrome-extension-malware/