- 「Crypto Copilot」というChromeブラウザの拡張機能は、ソラナ取引の手数料を攻撃者のウォレットに密かに送っていた。
- サイバーセキュリティ企業のソケットによって報告されたこの拡張機能は、6月からChromeウェブストアで公開されていた。
- ユーザーは、署名権限を持つクローズドソースの拡張機能の使用を避け、Crypto Copilotを使用していた場合は資産を移動することをお勧めする。
Chromeブラウザの拡張機能「Crypto Copilot」が数カ月の間、ユーザーのスワップ手数料を密かに横流ししていた。攻撃者が制御するウォレットへ取引の一部を転送するため、難読化されたトランザクション・ロジックを利用していたのだ。
サイバーセキュリティ企業のソケット(Socket)が今週初めに発見したこの拡張機能は、6月からChromeウェブストアで公開されていた。人気のソラナ(Solana)取引所レイディウム(Raydium)のトレーダー向けツールとして提供されていた。
しかしソケットは、この拡張機能がレイディウムの全スワップに第2の指示を注入していることを発見した。0.0013SOL、あるいは取引額の0.05%をハードコードされたウォレットへ送金する仕組みだ。
この悪用は、正しいレイディウムのスワップ指示を生成した後、隠された転送命令を追加するという単純なメカニズムを利用していた。
これが機能したのは、ウォレットインターフェースが通常、指示を単一のスワップとして要約し、バンドルされたトランザクションがアトミックに実行されるためだ。つまりユーザーは知らずに両方の取引に署名してしまう。ファストフードアプリでハンバーガーを注文するところを想像してみてほしい。「注文確定」ボタンをクリックするだけで、決済、レシートの印刷、そして食べ物とお釣りの受け渡しまで、すべてがシームレスにひとつにまとめられている。
オンチェーンの動向から、現時点での被害規模は限定的と推測される。攻撃者が獲得した金額は少額だ。しかしこの手法は取引規模に応じて影響が拡大する。約2.6SOLを超える取引で0.05%の手数料が発生するため、100SOLのスワップでは0.05SOL(現在の価格で約10ドル)が吸い上げられる計算だ。
他にも急ごしらえのインフラを示す兆候が複数ある。拡張機能のメインドメインcryptocopilot[.]appはGoDaddy上に設置されており、バックエンドのcrypto-coplilot-dashboard[.]vercel[.]app(スペルミスあり)はウォレットメタデータを収集しながらも空白ページを返す。
ソケットはグーグル(Google)に正式な削除要請を提出したと述べ、記事執筆時点でも拡張機能は稼働中だ。同社はユーザーに対し、署名権限を要求するクローズドソースの拡張機能を避けるよう警告し、Crypto Copilotを利用した場合は資産を新規のウォレットに移すように勧告している。
|翻訳:CoinDesk JAPAN
|編集:井上俊彦
|画像:Shutterstock
|原文:Solana Traders Hit by Months-Long Browser Malware That Skimmed Every Swap
