“Bull Checker”扩展通过改变钱包交易来掠夺Solana用户,导致大量未经授权的代币流失。
据报道,一个名为“Bull Checker”的新恶意浏览器扩展程序伪装成模因币跟踪器,在Reddit上针对Solana用户。
该扩展避开了检测系统,并耗尽了Solana用户的钱包。
在过去的一周里,Jupiter的匿名创始人Meow报告称,一些Solana DeFi用户遭遇了未经授权的代币流失。通过与合作伙伴的彻底调查,他们将问题追溯到“Bull Checker”,该网站一直针对Solana相关子版块的用户。
该扩展允许用户与去中心化应用程序(dApps)正常交互,但在交易完成后,它会秘密地将代币转移到未经授权的钱包中。Jupiter的创始人强调,dApp或钱包本身没有发现漏洞。
他们敦促用户删除“Bull Checker”扩展程序或任何他们不能立即信任的具有广泛权限的类似扩展程序。
Bull Checker被设计为只读扩展,旨在显示模因币持有者。理想情况下,这样的扩展不应该要求在所有网站上读取或写入数据的权限,这应该会引起用户的担忧。尽管如此,还是有几个用户开始安装和使用它。
安装后,Bull Checker会等待用户在其官方域名上与标准dApp交互,然后在钱包签名之前更改交易。修改后的交易在模拟中仍然看起来“正常”,掩盖了其作为排水器的真实意图。
在研究Chrome扩展程序时,Jupiter的创始人还发现它是由一个匿名的Reddit帐户“Solana_OG”推广的。这个人似乎瞄准了想要交易模因币的用户,并诱使他们下载该扩展程序。
喵向用户发出强烈警告,强调在Reddit或其他媒体平台上遇到推荐时,无论他们收到多少赞成票或正面评论,都要保持怀疑态度。
这位创始人强调了“天体草皮和社会工程”的危险,在这种情况下,不良行为者可以操纵公众认知,传播“公牛检查器”扩展等有害工具。他们进一步补充说,对于需要广泛权限的扩展,例如读取和修改所有网站数据的能力,应该极其谨慎地对待。
“虽然我们发现了一个恶意扩展,但可能还有其他恶意扩展。有报告称,我们无法追踪到其他漏洞。如果您怀疑某个扩展包含恶意软件,特别是如果它们同时具有“读取”和“更改”权限,请立即卸载它。”
