Propina para el hacker: hallan en Chrome una extensión que añadía en silencio su comisión a tus transferencias en línea

En el catálogo de extensiones de Chrome se detectó la extensión maliciosa que, sin que lo percibieran los propietarios de criptoactivos, añade una comisión oculta en las operaciones con Solana y la envía al monedero de los atacantes. Quedan afectados los usuarios que realizan intercambios a través del exchange descentralizado Raydium.

La extensión llamada Crypto Copilot apareció en Chrome Web Store el 7 de mayo de 2024. Como autor figura un usuario con el seudónimo «sjclark76». La descripción promete la posibilidad de negociar criptomonedas directamente en X con «analítica operativa» y «ejecución cómoda de operaciones». En el momento del hallazgo, la extensión tenía 12 instalaciones y aún estaba disponible para su descarga.

Especialistas de la compañía Socket determinaron que detrás de una interfaz que imita una herramienta legítima de comercio se oculta un mecanismo de desvío adicional en cada operación de intercambio de Solana. Al realizar un swap en Raydium, la extensión añade a la transacción en preparación una llamada al método de servicio SystemProgram.transfer, por lo que en el paquete que se firma se incluye otra transferencia de SOL a una dirección codificada, controlada por los atacantes.

El importe de la comisión se calcula automáticamente en función del importe de la operación. El mínimo retenido es 0,0013 SOL, y para volúmenes superiores a 2,6 SOL se registra una transferencia de 2,6 SOL y, además, un 0,05 % del importe del intercambio. En la interfaz de la extensión esta comisión no se muestra: al usuario solo se le presentan los parámetros de la operación principal en Raydium, lo que hace la sustitución poco perceptible sin un análisis detallado de cada instrucción antes de la firma.

Para ocultar la lógica, la extensión utiliza obfuscación de código, incluida la minificación y el cambio de nombres de variables. Paralelamente, la extensión interactúa con una parte servidor en el dominio «crypto-coplilot-dashboard.vercel[.]app», donde se envían datos sobre las billeteras conectadas, la actividad de referidos y los «puntos» acumulados. El dominio vinculado «cryptocopilot[.]app», según indican los especialistas, no contiene un producto completo y sirve solo para dar apariencia de un servicio real.

La plausibilidad adicional de Crypto Copilot la aporta la integración con plataformas legítimas como DexScreener y Helius RPC. En conjunto, la infraestructura del proyecto está diseñada para pasar la moderación de Chrome Web Store y aparentar ser una herramienta legal para trabajar con criptomonedas, a la vez que intercepta discretamente parte de los fondos de los usuarios en favor del autor de la extensión.

El incidente con Crypto Copilot muestra que incluso una extensión que a primera vista pasa desapercibida puede convertir las operaciones habituales en una fuente de pérdidas ocultas. Cualquier herramienta que obtenga acceso a billeteras y transacciones requiere precaución, y la confianza en la vitrina de la tienda del navegador ya no puede ser la única base de la seguridad.