DevOps VietNam

Cảnh báo mã độc Chrome Extension: Crypto Copilot bí mật rút phí SOL từ giao dịch Solana của người dùng

Một tiện ích mở rộng Chrome mang tên Crypto Copilot đang lén lút trích xuất phí SOL (Solana) từ người dùng bằng cách tiêm các lệnh chuyển tiền ẩn vào các giao dịch swap trên Raydium và các sàn phi tập trung khác. Tiện ích độc hại này ngụy trang thành công cụ giao dịch nhanh, tích hợp với các ví phổ biến như Phantom và Solflare, nhưng lại thực hiện một hành vi chiếm đoạt tài sản tinh vi mà người dùng khó có thể phát hiện trên màn hình xác nhận giao dịch.

Theo nghiên cứu từ các chuyên gia bảo mật tại Socket, Crypto Copilot (được đăng tải vào tháng 6/2024) hứa hẹn giúp người dùng “thực hiện giao dịch ngay lập tức từ mạng xã hội X (trước đây là Twitter). Tuy nhiên, đằng sau giao diện thân thiện đó là đoạn mã được thiết kế để tính toán một khoản phí cố định hoặc phần trăm, sau đó append một lệnh SystemProgram.transfer bí mật vào giao dịch swap hợp pháp. Lệnh này chuyển tiền đến ví của kẻ tấn công: Bjeida13AjgPaUEU9xrh1iQMwxZC7QDdvSfg73oxQff7.

Cơ chế thu phí rất rõ ràng: người dùng sẽ bị tính phí lấy giá trị lớn hơn giữa 0.0013 SOL hoặc 0.05% giá trị giao dịch. Điều này khiến các nhà giao dịch có khối lượng lớn đối mặt với khoản lỗ tích lũy đáng kể, biến tiện ích này thành một nguồn doanh thu định kỳ cho hacker. Điểm mấu chốt của vụ tấn công nằm ở tính chất atomic của giao dịch: lệnh chuyển tiền ẩn được thực thi đồng thời với giao dịch swap chính, và hầu hết các màn hình xác nhận ví không thể hiển thị rõ ràng lệnh chuyển tiền bổ sung này. Người dùng ký vào thứ họ nghĩ là một giao dịch swap duy nhất, nhưng thực chất lại là hai lệnh được thực hiện cùng lúc.

Phân tích hạ tầng cho thấy, backend được sử dụng crypto-coplilot-dashboard.vercel.app chỉ là một placeholder (tên miền thậm chí còn bị đánh sai chính tả là “coplilot”), cho thấy đây là hạ tầng dùng một lần, điển hình của các chiến dịch độc hại. Mặc dù Socket đã gửi yêu cầu gỡ bỏ tới Google, các chuyên gia khuyến cáo người dùng đã cài đặt Crypto Copilot phải ngay lập tức di chuyển tài sản sang ví sạch và thu hồi quyền truy cập.

Để tự bảo vệ mình, người dùng cần kiểm tra kỹ từng lệnh trong giao dịch trước khi ký, đặc biệt là trên Solana, và cảnh giác cao độ với bất kỳ lệnh SystemProgram.transfer nào bất ngờ xuất hiện. Cần tránh xa các tiện ích mở rộng mã nguồn đóng yêu cầu quyền ký giao dịch, và chỉ cài đặt wallet extensions từ các trang nhà phát hành đã được xác minh.