Um malware disfarçado como extensão do Chrome para a rede Solana desviou silenciosamente criptomoedas de usuários por vários meses. O “Crypto Copilot“, disponível na loja oficial desde junho, alterava transações de swap na DEX Raydium para enviar uma parte dos valores para uma carteira controlada pelo atacante.
A ameaça foi descoberta pela empresa de segurança Socket. A extensão injetava uma instrução oculta em cada transação, transferindo 0,0013 SOL ou 0,05% do valor total do trade. O golpe funcionava porque as carteiras resumiam a operação fraudulenta como uma única ação legítima.
O ataque parece ter tido alcance limitado, mas o prejuízo escalava com o valor das operações. Uma troca de 100 SOL, por exemplo, resultaria em uma perda de cerca de 10 dólares. A infraestrutura usada pelos criminosos apresentava erros amadores, como domínios mal escritos.
A Socket solicitou a remoção da extensão à Google. A recomendação para os usuários é evitar extensões de código fechado que peçam permissão para assinar transações e migrar os ativos para uma nova carteira caso tenham usado a ferramenta maliciosa.
