Una nueva amenaza a la seguridad en el ecosistema de Solana ha sido identificada: una extensión maliciosa del navegador Google Chrome, llamada Crypto Copilot, que opera discretamente para robar una pequeña comisión de cada swap realizado por el usuario.
El ataque es sutil, ya que no vacía la billetera de golpe, sino que extrae una comisión oculta de forma continua.
Mecanismo de Robo Oculto
Según un informe de la empresa de ciberseguridad Socket, el modus operandi de Crypto Copilot se centra en la ofuscación de la transacción en la blockchain de Solana:
- Inyección de Transferencia: En lugar de ser un malware de vaciado total, Crypto Copilot “inyecta una transferencia adicional en cada swap de Solana”, desviando un mínimo de 0.0013 SOL o el 0.05% de la operación a la billetera del atacante.
- Ofuscación en la Interfaz: La extensión utiliza el exchange descentralizado Raydium para ejecutar el swap legítimo. Sin embargo, añade una segunda instrucción para la transferencia maliciosa.
- Firma Engañosa: La interfaz de usuario solo muestra los detalles del swap al usuario, y las pantallas de confirmación de la billetera “resumen la transacción sin mostrar las instrucciones individuales”. Los usuarios firman lo que parece ser una única transacción, cuando en realidad se ejecutan ambas instrucciones de forma atómica onchain.
Alcance y Larga Duración
La extensión maliciosa lleva bastante tiempo activa, lo que subraya la persistencia de estas amenazas:
- Fecha de Publicación: Crypto Copilot fue publicada el 18 de junio de 2024.
- Bajo Número de Usuarios: La tienda informa que solo tiene 15 usuarios en el momento del informe.
- Promoción: La herramienta se promociona como una herramienta de conveniencia para traders de Solana que les permite ejecutar swaps directamente desde su feed de la red social X.
Riesgo Constante de Extensiones Maliciosas
El ecosistema de extensiones de Google Chrome sigue siendo un objetivo principal para los estafadores de criptomonedas:
- Advertencias Recientes: A principios de este mes, Socket advirtió que la cuarta extensión de billetera cripto más popular en la Chrome Web Store estaba drenando fondos.
- Incidentes Anteriores: En agosto, el agregador Jupiter identificó otra extensión maliciosa que vaciaba billeteras de Solana, y en junio de 2024, un operador chino perdió supuestamente $1 millón de dólares debido a un complemento llamado Aggr que robaba cookies para secuestrar cuentas.
Socket ha enviado una solicitud de eliminación al equipo de seguridad de Chrome Web Store para mitigar esta amenaza.
Este artículo no contiene consejos ni recomendaciones de inversión. Toda inversión y operación conlleva riesgos, y los lectores deben realizar sus propias investigaciones antes de tomar una decisión.