Uma extensão do Chrome, que promete facilitar as negociações, está causando uma dor de cabeça para usuários de Solana (SOL). Desde junho, essa ferramenta tem desviado secretamente parte das transações, injetando taxas ocultas e se apresentando como um assistente de negociação legítimo.
A cibersegurança foi chamada para investigar e a empresa Socket revelou que a extensão maliciosa, conhecida como Crypto Copilot, foi descoberta durante uma rotina de monitoramento na Chrome Web Store. O engenheiro de segurança Kush Pandya fez essa descoberta e compartilhou as informações com o portal Decrypt.
### Como a Extensão Funciona?
Pandya explicou que, ao usar o Crypto Copilot, uma nova instrução de transferência é adicionada a cada transação de troca de tokens. Isso resulta em uma taxa mínima de 0,0013 SOL, ou 0,05% do valor negociado, que vai direto para uma carteira controlada pelo atacante. O código da extensão está cheio de segredos e ofusca esse comportamento, dificultando que usuários desavisados percam a noção do que realmente está acontecendo.
Os sinais de alerta foram identificados por um scanner de inteligência artificial da Socket, que notou inconsistências no código. Aliás, a extensão permaneceu por meses na loja do Chrome, sem que ninguém avisasse os usuários sobre essas taxas disfarçadas.
Cada vez que uma troca é feita, a interface do Crypto Copilot mostra apenas os detalhes normais, enquanto a informação sobre a taxa adicional fica escondida no código. Isso faz parecer que os usuários estão apenas realizando uma troca simples, quando, na verdade, duas transações estão sendo executadas ao mesmo tempo.
### E o Risco?
Até agora, a carteira dos atacantes tem recebido pequenas quantias, indicando que o Crypto Copilot ainda não chegou a um grande número de usuários. Porém, o problema não é menos sério. O índice das taxas varia conforme o tamanho da transação; para transações menores, a taxa é fixa, e para montantes maiores, é percentual. Por exemplo, numa troca de 100 SOL, o usuário pagaria cerca de 0,05 SOL em taxas, ou aproximadamente R$ 50,00.
O domínio da extensão, cryptocopilot[.]app, está registrado em um serviço bem conhecido, mas parece que a parte técnica da plataforma é bem precária, levando a uma página em branco para quem tenta acessar. Isso aumenta ainda mais a desconfiança quanto à segurança da ferramenta.
A Socket já pediu à equipe de segurança do Google que remova a extensão, mas ela ainda estava acessível por lá no momento em que as informações foram divulgadas.
### Cuidados Necessários
A questão das extensões maliciosas é um tema crescente no mundo das criptomoedas. Recentemente, uma variante de malware chamada ModStealer foi descoberta mirando carteiras de criptomoedas em diferentes sistemas operacionais.
Diante destes riscos, é fundamental que os usuários sempre revisem as instruções antes de confirmar transações. Evitar extensões de comércio que não tenham código aberto e que solicitem permissões de assinatura é uma boa prática. Caso alguém suspeite que tenha instalado o Crypto Copilot, o indicado é transferir os ativos para uma carteira segura o quanto antes.
