Advertencia de Seguridad para Comerciantes de Solana
Una nueva advertencia de seguridad ha surgido para los comerciantes de Solana, tras el descubrimiento de una extensión de Chrome que añade secretamente tarifas adicionales a las transacciones de los usuarios. La extensión, denominada Crypto Copilot, promueve el comercio rápido directamente desde los feeds de redes sociales.
Comportamiento Sospechoso de la Extensión
Los investigadores han encontrado que Crypto Copilot inserta silenciosamente una transferencia oculta de SOL en cada intercambio realizado en Raydium. Como resultado, los usuarios desprevenidos pierden una parte de sus activos sin recibir ninguna indicación en pantalla.
«Este descubrimiento plantea preocupaciones más amplias sobre las herramientas de comercio basadas en navegadores y alerta a los comerciantes sobre los riesgos asociados con las extensiones que requieren permisos amplios de firma.»
El equipo de investigación de amenazas de Socket identificó este comportamiento durante una revisión de extensiones sospechosas vinculadas a la actividad de Solana. A primera vista, la extensión parecía legítima, ya que se conecta a billeteras bien conocidas y muestra datos de tokens de DexScreener. Sin embargo, los investigadores notaron que cada intercambio generaba dos instrucciones en lugar de una.
Método de Operación del Ataque
La extensión construye el intercambio correcto en Raydium y, posteriormente, añade otra instrucción que transfiere una pequeña cantidad de SOL a una billetera controlada por un atacante. La tarifa varía de 0.0013 SOL a un 0.05% del monto del comercio. Además, la transferencia no aparece en la interfaz, ya que los mensajes típicos de la billetera resumen la transacción completa como una sola acción, dificultando que los usuarios detecten la instrucción adicional.
Por lo tanto, el atacante recoge tarifas en segundo plano mientras el comerciante cree que está ejecutando un intercambio normal.
Características de Crypto Copilot
Crypto Copilot se lanzó en junio de 2024 con una propuesta que atraía a los comerciantes de Solana de rápido movimiento. La extensión detecta tokens mencionados en publicaciones en X y ofrece un botón de intercambio de un clic. Solicita permisos de adaptador de billetera que parecen normales para quienes comercian con frecuencia. Además, su interfaz destaca la velocidad y la conveniencia como características principales. Sin embargo, ninguna de sus promociones menciona tarifas adicionales o transferencias no divulgadas.
Preocupaciones de Seguridad y Consejos
El código problemático estaba oculto dentro de archivos fuertemente ofuscados, lo que generó preocupaciones entre los analistas que notaron que las extensiones que ofrecen comercio instantáneo a menudo animan a los usuarios a firmar transacciones rápidamente, facilitando así el paso por alto de instrucciones adicionales silenciosas. La extensión sigue en línea, y los investigadores han solicitado su eliminación.
Este incidente destaca una tendencia más amplia: las extensiones de navegador que manejan acciones en cadena se han vuelto más populares, pero también aumentan la exposición a riesgos de seguridad. Además, los atacantes ahora apuntan a los comerciantes de Solana con mayor frecuencia debido al aumento de la actividad en el ecosistema.
Por lo tanto, los equipos de seguridad aconsejan a los usuarios que revisen cada transacción cuidadosamente, eviten extensiones desconocidas y monitoreen patrones de transferencia inusuales.
