Un avertissement critique a été émis aux utilisateurs de plates-formes de finance décentralisée (DeFi) basées sur Solana concernant une extension Chrome malveillante connue sous le nom de « Bull Checker ». Cet avis a été publié par Jupiter, l'un des principaux agrégateurs d'échanges décentralisés sur la blockchain Solana, à la suite d'une collaboration d'enquête avec des experts en cybersécurité et du soutien de la communauté.
Un mot d'avertissement à tous les utilisateurs de Solana
L'équipe de recherche de Jupiter, en collaboration avec Offside Labs et les principaux modérateurs de la communauté, a découvert que « Bull Checker » était responsable des transferts non autorisés de jetons depuis les portefeuilles des utilisateurs. Au cours de la semaine dernière, des rapports faisant état de transferts inhabituels de jetons ont commencé à émerger, ce qui a donné lieu à une analyse détaillée. "Suite à de nombreux rapports de nos utilisateurs, notre enquête a identifié l'extension Chrome 'Bull Checker' comme étant à l'origine de ces vols", écrit Jupiter Research. L'extension, censée permettre aux utilisateurs de visualiser les détenteurs de memecoins , possédait en réalité la capacité de modifier les données de transaction.
L'extension fonctionne en attendant qu'un utilisateur interagisse avec une dApp légitime sur le domaine officiel. Modifiez ensuite la transaction envoyée au portefeuille pour signature. Bien que les résultats de la simulation semblent normaux, les transactions sont manipulées pour inclure des instructions transférant les jetons vers le portefeuille d'un attaquant. "Ce qui est particulièrement insidieux avec cette extension, c'est qu'elle injecte du code malveillant qui n'est pas détecté lors des simulations de transactions typiques", a ajouté Meow, le fondateur sous le pseudonyme de Jupiter.
L'examen technique a révélé que les vecteurs d'attaque utilisés par « Bull Checker » sont sophistiqués. « Nous avons remarqué que l'extension pouvait remplacer la méthode signTransaction de l'adaptateur de portefeuille par sa propre implémentation, qui enverrait ensuite la transaction non signée à un serveur distant. Ce serveur attache un appel à un programme de drainage avant de le renvoyer pour approbation de l'utilisateur », a expliqué Meow.
Cette constatation a été confirmée par l'examen d'exemples de transactions spécifiques dans lesquelles des instructions malveillantes ont été ajoutées aux transactions de routine. Dans l'un des examens détaillés des transactions, l'utilisateur exploité a exécuté ce qui semblait être une transaction standard qui a fini par transférer 0,06 SOL et son autorité de jeton à l'adresse d'un exploiteur identifié comme 8QYkBcer7kzCtXJGNazCR6jrRJS829aBow12jUob3jhR.
Le modus operandi de l’extension malveillante impliquait plusieurs étapes. Premièrement, l'extension surveillait le solde SOL du compte de la victime tout en simulant la transaction, qui montrait généralement un solde nul conduisant à l'abandon des instructions malveillantes. Cependant, immédiatement après la simulation, l'attaquant a exécuté une séquence de transactions groupées comprenant l'envoi de SOL pour augmenter le solde, l'exécution de la transaction malveillante , puis le retrait de SOL, le tout à l'insu de l'utilisateur.
« Bull Checker » a été initialement promu via un compte Reddit anonyme, connu sous le nom de « Solana_OG », qui semblait cibler les utilisateurs intéressés par l'échange de memecoins. Cela aurait dû être un signal d’alarme étant donné le manque de transparence et la nature de la fonctionnalité annoncée. Malheureusement, l’extension a quand même réussi à atteindre les ordinateurs de plusieurs utilisateurs sans méfiance.
L'enquête en cours a révélé que même si « Bull Checker » a été identifié et annoncé, d'autres extensions malveillantes dotées de fonctionnalités similaires peuvent encore exister. Il est conseillé aux utilisateurs de faire preuve d'une extrême prudence avec toute extension nécessitant des autorisations étendues pour lire et modifier toutes les données sur les sites Web. "Les utilisateurs doivent vérifier la légitimité et la nécessité de toute extension, en particulier celles qui interagissent profondément avec les transactions financières ou les données du portefeuille", a averti Meow.
En réponse à ces types de menaces, Blowfish a récemment publié une fonctionnalité connue sous le nom de SafeGuard visant à empêcher les attaques d'usurpation d'identité par simulation, qui est désormais adoptée par davantage de portefeuilles Solana. Cette nouvelle mesure de sécurité améliore l'intégrité des vérifications des transactions, offrant une couche de protection supplémentaire contre des exploits similaires.
Au moment de la rédaction de cet article, Solana se négociait à 146,67 $.
