Socket บริษัทด้านความปลอดภัยไซเบอร์ ออกประกาศเตือนภัยด่วนถึงนักลงทุน Solana หลังตรวจพบส่วนขยาย (Extension) บน Google Chrome ที่ชื่อว่า Crypto Copilot แอบฝังมัลแวร์เพื่อขโมยเหรียญ SOL จากผู้ใช้งานไประหว่างการทำธุรกรรม Swap โดยที่เจ้าตัวไม่รู้เรื่อง
พฤติกรรมโจรในคราบผู้ช่วย แอบแทรกคำสั่งโอนเงิน
Kush Pandya นักวิจัยความปลอดภัยจาก Socket เปิดเผยว่า ส่วนขยายดังกล่าวโฆษณาว่าเป็นเครื่องมือช่วยเทรดที่สะดวกสบาย แต่เบื้องหลังกลับซ่อนกลไกอันตรายไว้
ทุกครั้งที่ผู้ใช้กด Swap เหรียญบน Raydium (DEX ชื่อดังของ Solana) ส่วนขยายนี้จะแอบเพิ่มคำสั่งโอนเงินแทรกเข้าไปในธุรกรรมนั้นๆ
เมื่อกดยืนยัน Transaction มันจะดึงเงินออกจากกระเป๋าผู้ใช้ขั้นต่ำ 0.0013 SOL หรือ 0.05% ของมูลค่าการเทรดขึ้นอยู่กับว่ายอดไหนสูงกว่า ส่งตรงเข้ากระเป๋าของแฮกเกอร์
ซึ่ง pop-up ยืนยันธุรกรรมมักจะสรุปยอดรวม ทำให้ผู้ใช้เข้าใจผิดว่ากำลังเซ็นอนุมัติแค่การ Swap เหรียญปกติ ทั้งที่จริงแล้วมีคำสั่งโอนเงินแฝงอยู่ด้วย
หลบเลี่ยงการตรวจสอบ-โดเมนสะกดผิด
รายงานระบุว่าโค้ดของส่วนขยายนี้มีการเขียนให้ซับซ้อนเพื่อหลบเลี่ยงการตรวจจับ และไม่มีการแจ้งเตือนเรื่องค่าธรรมเนียมใดๆ บนหน้าดาวน์โหลด นอกจากนี้ยังพบพิรุธที่โดเมนหลังบ้านมีการสะกดคำผิดอย่างน่าสงสัย เช่น crypto-coplilot-dashboard (มีตัว l เกินมา)
คำแนะนำสำหรับนักลงทุน
แม้ทาง Socket จะได้แจ้งไปยังทีมความปลอดภัยของ Google Chrome Web Store เพื่อให้ถอดถอนส่วนขยายนี้แล้ว แต่นักลงทุนควรระมัดระวังตัวดังนี้
- ตรวจสอบก่อนเซ็น เช็ครายละเอียด Transaction ทุกครั้งก่อนกด Approve ว่ามีคำสั่งโอนเงินแปลกปลอมหรือไม่
- ลบและย้าย หากใครติดตั้ง “Crypto Copilot” ไปแล้ว ให้รีบลบทิ้งทันที และทางที่ดีควรย้ายสินทรัพย์ไปกระเป๋าใหม่ (Clean Wallet) เพื่อความปลอดภัยสูงสุด
- ระวังของฟรี หลีกเลี่ยงการใช้ส่วนขยายช่วยเทรดที่เป็น Closed-source หรือขอสิทธิ์ในการเข้าถึง Wallet มากเกินความจำเป็น
ที่มา: socket