Sicherheitswarnung für Solana-Händler
Eine neue Sicherheitswarnung betrifft Solana-Händler, nachdem Forscher eine Chrome-Erweiterung entdeckt haben, die heimlich zusätzliche Gebühren zu den Benutzer-Swaps hinzufügt. Die Erweiterung, die den Namen „Crypto Copilot“ trägt, fördert schnelles Trading direkt aus sozialen Medien. Ermittler fanden jedoch heraus, dass sie stillschweigend eine versteckte SOL-Übertragung in jeden Raydium-Swap einfügt. Infolgedessen verlieren ahnungslose Benutzer einen Teil ihrer Vermögenswerte, ohne dass dies auf ihrem Bildschirm angezeigt wird. Diese Entdeckung wirft größere Bedenken hinsichtlich browserbasierter Handelswerkzeuge auf und warnt Händler vor den Risiken, die mit Erweiterungen verbunden sind, die umfassende Signierberechtigungen erfordern.
Entdeckung durch das Threat Research Team
Das Threat Research Team von Socket identifizierte dieses Verhalten während einer Überprüfung verdächtiger Erweiterungen, die mit Solana-Aktivitäten in Verbindung stehen. Auf den ersten Blick schien die Erweiterung legitim, da sie sich mit bekannten Wallets verbindet und Token-Daten von DexScreener anzeigt. Allerdings bemerkten die Forscher, dass jeder Swap zwei Anweisungen anstelle von einer generierte. Die Erweiterung erstellt den korrekten Raydium-Swap und fügt dann eine weitere Anweisung hinzu, die einen kleinen Betrag an SOL an eine von einem Angreifer kontrollierte Wallet überträgt. Die Gebühren reichen von 0,0013 SOL bis zu 0,05 % des Handelsbetrags. Darüber hinaus erscheint die Übertragung nicht in der Benutzeroberfläche. Typische Wallet-Prompts fassen die gesamte Transaktion als eine einzige Aktion zusammen, was es den Benutzern erschwert, die zusätzliche Anweisung zu bemerken. Daher sammelt der Angreifer Gebühren im Hintergrund, während der Händler glaubt, einen normalen Swap auszuführen.
Funktionen und Risiken von Crypto Copilot
Crypto Copilot wurde im Juni 2024 mit einem Angebot gestartet, das sich an schnell agierende Solana-Händler richtete. Die Erweiterung erkennt Tokens, die in Beiträgen auf X erwähnt werden, und bietet einen Ein-Klick-Swap-Button an. Sie fordert Wallet-Adapter-Berechtigungen an, die für jeden, der häufig handelt, normal erscheinen. Darüber hinaus präsentiert ihre Benutzeroberfläche Geschwindigkeit und Komfort als Hauptmerkmale. Allerdings erwähnt keines ihrer Marketingmaterialien zusätzliche Gebühren oder nicht offengelegte Übertragungen. Der problematische Code war in stark obfuskierten Dateien versteckt, was Bedenken bei Analysten weckte. Diese stellten fest, dass Erweiterungen, die sofortiges Trading anbieten, oft die Benutzer dazu ermutigen, Transaktionen schnell zu signieren, wodurch stille zusätzliche Anweisungen leichter übersehen werden können.
Aktuelle Situation und Empfehlungen
Die Erweiterung bleibt weiterhin online, und Forscher haben eine Entfernung beantragt. Bedeutend ist, dass der Vorfall einen breiteren Trend hervorhebt: Browsererweiterungen, die On-Chain-Aktionen abwickeln, sind beliebter geworden, erhöhen jedoch auch die Sicherheitsanfälligkeit. Darüber hinaus zielen Angreifer aufgrund der steigenden Aktivität im Ökosystem jetzt häufiger auf Solana-Händler ab. Daher raten Sicherheitsteams den Benutzern, jede Transaktion sorgfältig zu überprüfen, unbekannte Erweiterungen zu vermeiden und auf ungewöhnliche Übertragungspatterns zu achten.
