Krypto-Diebstahl per Browser-Plugin: Chrome-Erweiterung manipuliert Solana-Swaps
Eine bösartige Chrome-Erweiterung nutzt Raydium-Swaps, um unbemerkt Solana-Transfers einzuschleusen und Nutzergebühren direkt an eine Angreifer-Wallet umzuleiten. Trotz Warnungen ist das Add-on weiterhin im Chrome Web Store verfügbar.
Cybersicherheitsexperten haben im Chrome Web Store eine neue bösartige Erweiterung entdeckt, die in der Lage ist, einen versteckten Solana-Transfer in eine Swap-Transaktion einzufügen und die Gelder an eine vom Angreifer kontrollierte Wallet weiterzuleiten. Das Add-on trägt den Namen Crypto Copilot und wurde am 7. Mai 2024 von einem Nutzer namens „sjclark76” veröffentlicht.
Laut Beschreibung soll die Erweiterung angeblich ermöglichen, „Kryptowährungen direkt auf X mit Echtzeit-Einblicken und nahtloser Ausführung zu handeln“. Installiert wurde sie bisher zwölf Mal – und steht weiterhin zum Download bereit.
Der Sicherheitsanalyst Kush Pandya von Socket erklärte: „Hinter der Benutzeroberfläche fügt die Erweiterung jedem Solana-Swap eine zusätzliche Übertragung hinzu und leitet mindestens 0,0013 SOL oder fünf Hundertstel Prozent des Handelsbetrags an eine fest codierte, vom Angreifer kontrollierte Wallet weiter.“ Entscheidend ist, dass die Erweiterung verschleierten Code enthält, der aktiv wird, sobald ein Nutzer einen Swap über Raydium ausführt.
Raydium ist eine dezentrale Börse und ein automatisierter Market Maker auf der Solana-Blockchain. Die Erweiterung manipuliert die Transaktion, indem sie eine verschleierte Überweisung in dieselbe signierte Transaktion einbettet.
Die Technik dahinter ist ausgefeilt: Crypto Copilot fügt jedem Swap eine versteckte SystemProgram.transfer-Methode hinzu, noch bevor die Signatur des Nutzers abgefragt wird. Die Gebührenberechnung erfolgt abhängig vom gehandelten Betrag. Für kleinere Trades bis 2,6 SOL fallen mindestens 0,0013 SOL an, bei höheren Beträgen ab 2,6 SOL werden 0,05 Prozent des Swap-
Betrags abgezogen. Um eine Entdeckung zu verhindern, verschleiert der Angreifer den schädlichen Code durch Minifizierung und Umbenennung von Variablen.
Unsichtbare Gebühren und gefälschte Infrastruktur
Die Erweiterung kommuniziert außerdem mit einem Backend, das unter der Domain „crypto-coplilot-dashboard.vercel[.]app” betrieben wird. Dort werden Wallets registriert, Punkte und Empfehlungsdaten abgefragt und Aktivitäten der Nutzer gemeldet. Auch die Domain „cryptocopilot[.]app” tarnt sich als legitimes Produkt, ohne tatsächlich eines bereitzustellen. Besonders perfide wirkt dabei, dass die bösartige Erweiterung bekannte Dienste wie DexScreener und Helius Remote Procedure Call nutzt, um Seriosität vorzutäuschen.
Bemerkenswert ist, wie unsichtbar der Angriff für Betroffene bleibt. Die Benutzeroberfläche zeigt lediglich den regulären Swap an; die zusätzliche Plattformgebühr taucht nirgendwo auf.
Pandya warnte: „Da diese Übertragung stillschweigend hinzugefügt und an eine persönliche Wallet statt an eine Protokollkasse gesendet wird, werden die meisten Benutzer sie nie bemerken, es sei denn, sie überprüfen jede Anweisung vor der Unterzeichnung.“ Weiter sagte er, die gesamte Infrastruktur scheine nur darauf ausgelegt zu sein, die Überprüfung des Chrome Web Stores zu überstehen und den Anschein von Legitimität zu wahren – während im Hintergrund Gebühren abgezweigt werden.
Ein Lehrstück über Vertrauen und digitale Vorsicht
Der Vorfall zeigt, wie leicht sich manipulierte Browser-Erweiterungen in etablierten Plattformen tarnen können. Nutzer vertrauen ihnen oft blind, besonders wenn sie mit bekannten Diensten interagieren oder ein professionelles Interface bieten. Crypto Copilot führt vor, wie Angreifer dieses Vertrauen ausnutzen: durch minimale Gebühren, geschickte Verschleierung und die Einbettung in ohnehin komplexe Blockchain-Transaktionen. Für Solana- oder Raydium-Nutzer bedeutet das: Jede signierte Transaktion muss sorgfältig geprüft werden – sonst kann ein harmlos wirkender Swap schnell zu einem teuren Fehler werden.