Мемкоины, Reddit и хакеры: в Solana появился треугольник обмана
Как потерять средства, доверившись собеседнику.
Jupiter Research опубликовала результаты расследования инцидента, в ходе которого некоторые пользователи DeFi-приложений на платформе Solana потеряли свои средства. Виновником утечки данных стало вредоносное браузерное расширение Bull Checker. Плагин был нацелен на пользователей, активно участвующих в обсуждениях на нескольких сабреддитах, связанных с Solana.
Расширение Bull Checker было разработано под видом инструмента для просмотра держателей мемкоинов и должно было выполнять исключительно функции чтения данных. Однако на практике плагин получал доступ ко всей информации на посещаемых пользователями сайтах и мог изменять её. Пользователи могли не замечать ничего подозрительного при работе с децентрализованными приложениями (dApps), но после завершения транзакции токены могли быть переведены на другой кошелёк.
Bull Checker запрашивает разрешения на чтение и изменение данных на сайтах
Важно отметить, что ни в одном из dApp или кошельков не было выявлено уязвимостей. Проблема заключалась исключительно в работе вредоносного расширения, которое незаметно добавляло в обычные транзакции дополнительные команды, приводившие к потере контроля над токенами.
Были обнаружены конкретные транзакции, в которых вредоносные инструкции были внедрены в стандартные операции на платформах Jupiter и Raydium. Расширение ожидало взаимодействия пользователя с dApp на официальном домене, после чего модифицировало транзакцию, отправляемую на подпись в кошелёк. Пользователи подписывали такие транзакции, не подозревая, что они включают в себя команды для перевода токенов на другой адрес.
Расширение нацеливалось на трейдеров мемкоинов и продвигалось на Reddit анонимным аккаунтом «Solana_OG», который привлекал пользователей к установке вредоносного софта.
Пример продвижения плагина в Reddit
Пользователям настоятельно рекомендуется немедленно удалить расширение Bull Checker и любые другие расширения с подозрительно широкими разрешениями. Важно помнить, что любое расширение, запрашивающее доступ к чтению и изменению данных на всех сайтах, должно вызывать серьёзные подозрения. Не стоит доверять программам и расширениям только на основании положительных отзывов на Reddit или других платформах.