Estensione Chrome dannosa sottrae piccole quantità di SOL senza svuotare i portafogli

Un’estensione malevola per Google Chrome consente agli utenti di eseguire operazioni sul network Solana direttamente dal feed di X, mentre sottrae silenziosamente una commissione da ogni swap e la indirizza al portafoglio del creatore.

La scoperta è stata annunciata dalla società di sicurezza informatica Socket, che ha analizzato il comportamento dell’estensione e ne ha segnalato il funzionamento anomalo.

Socket ha affermato:

“injects an extra transfer into every Solana swap, siphoning a minimum of 0.0013 SOL or 0.05% of the trade.”

Secondo l’analisi, l’estensione — nota come Crypto Copilot — instrada le operazioni verso l’exchange decentralizzato Raydium per eseguire gli swap, ma aggiunge in coda una seconda istruzione che trasferisce una quota di SOL dal portafoglio dell’utente a quello dell’attaccante.

Socket ha precisato:

“summarize the transaction without surfacing individual instructions.”

Il front-end mostra solamente i dettagli dello swap principale, mentre le schermate di conferma del portafoglio sintetizzano l’operazione senza rendere visibili le istruzioni separate che la compongono.

Socket ha aggiunto:

“Users sign what appears to be a single swap, but both instructions execute atomically on-chain.”

Come funziona la frode

La tecnica sfrutta caratteristiche proprie della blockchain Solana, in cui più istruzioni possono essere raggruppate in un’unica transazione eseguita in modo atomico. L’utente autorizza quello che sembra uno swap singolo, ma la transazione contiene anche l’istruzione nascosta che trasferisce fondi al beneficiario malintenzionato.

Poiché la firma sul portafoglio è richiesta per l’intera transazione consolidata, non è possibile eseguire separatamente le istruzioni visibili: entrambe vengono applicate in blocco sulla chain, rendendo difficile per l’utente individuare la sottrazione automatica se non si ispezionano singolarmente le istruzioni on‑chain.

Diffusione e interventi

Secondo la segnalazione, Crypto Copilot è stata pubblicata nello store delle estensioni e la società di sicurezza ha inviato una richiesta di rimozione al team di sicurezza del Chrome Web Store. Al momento della rilevazione l’estensione risultava avere un numero limitato di installazioni, ma la natura stealth del meccanismo la rende pericolosa anche se non ampiamente diffusa.

Crypto Copilot si presentava come strumento di comodo per i trader di Solana, promuovendo la possibilità di eseguire swap direttamente dall’interfaccia sociale senza dover cambiare applicazione.

Crypto Copilot claimed:

“allowing you to act on trading opportunities instantly without the need for switching between apps or platforms.”

Contesto: la minaccia alle estensioni browser

L’ecosistema delle estensioni per Google Chrome, per la sua ampia diffusione e la possibilità di estendere le funzionalità del browser, è da tempo un vettore attraente per frodi legate alle criptovalute. Malintenzionati possono pubblicare componenti che abusano di permessi elevati per manipolare transazioni o rubare credenziali.

In passato sono stati segnalati altri casi in cui estensioni malevole hanno svuotato portafogli su Solana o hanno usato cookie del browser per assumere il controllo di account collegati a piattaforme di scambio come Binance. Anche aggregatori e wallet popolari possono essere presi di mira per distribuire codice dannoso o per sfruttare vulnerabilità di terze parti.

Implicazioni per il settore e per gli utenti

Questo tipo di attacco evidenzia come la sicurezza degli utenti dipenda tanto dall’ecosistema delle estensioni quanto dalla sensibilità degli utenti nel verificare transazioni complesse. Per le piattaforme decentralizzate e per gli exchange, episodi ripetuti possono ridurre la fiducia degli utenti e richiedono misure di controllo più stringenti sia sugli store di estensioni sia sui meccanismi di firma delle operazioni.

Consigli pratici per proteggersi

Per ridurre il rischio di essere vittima di estensioni malevole, è consigliabile adottare alcune precauzioni: installare solo estensioni verificate e con un buon storico, controllare le autorizzazioni richieste dall’estensione, leggere attentamente le recensioni e le note di rilascio, e limitare l’uso di estensioni per operazioni sensibili.

In aggiunta, è raccomandabile utilizzare hardware wallet per le somme significative, ispezionare le istruzioni di una transazione sul portale della blockchain quando possibile, revocare permessi e approvazioni non necessari, mantenere il browser aggiornato e considerare strumenti di analisi on‑chain per verificare le operazioni prima di firmarle.

Per gli sviluppatori e i gestori di store di estensioni, l’episodio sottolinea l’importanza di revisioni più approfondite del codice, controlli automatici per pattern di frode e canali rapidi per la rimozione di componenti dannosi non appena vengono identificati.