BCGAME - Bônus diário grátis de 5BTC!- Extensão Solana adiciona comandos ocultos em swaps
- Crypto Copilot desvia percentuais para carteira do atacante
- Ferramentas de navegador exigem verificação de transações
A extensão Crypto Copilot, criada para facilitar negociações de Solana diretamente no navegador Chrome, foi identificada desviando valores de usuários ao inserir instruções ocultas em transações de swap. A descoberta foi feita pela equipe de pesquisa da empresa de cibersegurança Socket, que reportou o funcionamento sigiloso do desvio.
De acordo com a análise, a extensão permitia realizar trocas de tokens a partir da própria rede social X, anteriormente conhecida como Twitter. No entanto, cada transação incluía um comando adicional, invisível para o usuário, que transferia automaticamente 0,05% do valor da operação — ou um mínimo de 0,0013 SOL — para uma carteira administrada pelo atacante.
Lançado na Chrome Web Store em meados de 2024, o Crypto Copilot se apresentava como uma solução para operações rápidas com Solana. Nas telas de confirmação, os usuários visualizavam somente a transação principal, sem qualquer sinalização sobre as instruções extras embutidas no processo, segundo a Socket.
A investigação mostrou que o software empregava técnicas de ofuscação, como minificação do código e renomeação de variáveis, para disfarçar o comportamento fraudulento. Além disso, a extensão se comunicava com um backend hospedado em crypto-coplilot-dashboard.vercel.app, utilizado para registrar carteiras conectadas, monitorar atividades e enviar informações de referência relacionadas ao uso da ferramenta.
Outro domínio relacionado, cryptocopilot.app, aparece inativo e sem funcionalidades aparentes. Para a Socket, a ausência de um painel de controle funcional é incompatível com o que seria esperado de uma plataforma de negociação legítima voltada para usuários de Solana e outras criptomoedas.
A empresa reforçou que a extensão repetia o padrão em todas as transações executadas, sempre enviando a porcentagem pré-definida ao mesmo endereço do atacante. O relatório destaca ainda que a estrutura de operação da ferramenta foi projetada para permanecer oculta, dificultando a percepção dos desvios pelos usuários.
O incidente reacende a importância de inspeção cuidadosa de transações e permissões em extensões de navegador, especialmente em ambientes de negociação de criptos que dependem de carteiras conectadas e execução direta via navegador.
