ต้องระวัง! ‘Bull Checker’ ส่วนขยายของ Chrome ดูดโทเค็นจากผู้ใช้งาน DeFi บน Solana ได้

ในช่วงสัปดาห์ที่ผ่านมา ส่วนขยายของเว็บเบราเซอร์ชื่อดัง Chrome ที่มีชื่อว่า “Bull Checker” ได้โจมตีผู้ใช้งาน Solana DeFi และขโมยโทเค็นของพวกเขาไป

แพลตฟอร์มเทรดแบบกระจายศูนย์อย่าง Jupiter Exchange เป็นผู้แรกที่พบส่วนขยายของเบราว์เซอร์นี้ โดยระบุว่า ส่วนขยายนี้ได้ขโมยโทเค็นของผู้ใช้งาน Solana ไปแล้วหลายราย

Jupiter discovered a malicious Chrome extension called "Bull Checker" that could allow users with this extension to have their tokens maliciously transferred to another wallet when a transaction is completed. In the past week, the team received reports that a small number of…

— Wu Blockchain (@WuBlockchain) August 20, 2024

Jupiter ได้ทำการสืบสวนส่วนขยายของ Chrome อย่างละเอียด หลังจากได้รับรายงานจากผู้ใช้งานว่า สูญเสียโทเค็นของพวกเขาไป ตามรายงานที่เผยแพร่เมื่อวันอังคารที่ผ่านมา ดูเหมือนว่า ‘Bull Checker’ จะใช้งานได้อย่างถูกต้องในตอนแรก โดยอนุญาตให้ผู้ใช้งานโต้ตอบกับแอปพลิเคชั่นแบบกระจายศูนย์ (dApps) ได้ตามปกติ

“ผู้ใช้งานที่มีส่วนขยายนี้จะสามารถใช้งาน dApps ได้ตามปกติ การจำลองก็จะแสดงผลตามปกติ แต่มีความเป็นไปได้ที่โทเค็นของพวกเขาจะถูกโอนไปยังกระเป๋าเงินอื่นอย่างไม่ถูกต้องเมื่อการทำธุรกรรมเสร็จสิ้น”

Identification Of Malicious Extension
Over the last week, we received reports that a small number of users using Solana DeFi got drained.

After extensive investigation, we have identified a malicious Chrome extension called “Bull Checker” that had targeted users on several… pic.twitter.com/pubayfmD9h

— Jupiter 🪐 (@JupiterExchange) August 19, 2024

หลังจากติดตั้งส่วนขยายแล้ว มันจะรอให้ผู้ใช้งานโต้ตอบกับ dApp บนโดเมนที่เป็นทางการ จากนั้น มันจะแก้ไขธุรกรรมที่ส่งไปยังกระเป๋าเงินเพื่อลงนาม ตามที่ Jupiter เขียนไว้

ที่น่าสนใจคือ ผลการจำลองดูเหมือนจะเป็นไปอย่าง “ปกติ” และไม่ปรากฏว่ามีการดูดเงินแม้หลังจากการแก้ไขแล้ว

นอกจากนี้ แพลตฟอร์มยังยืนยันว่าไม่มีช่องโหว่ในกระเป๋าเงินของ dApps แต่อย่างใด

การสืบสวนเผยว่า Bull Checker มีสิทธิ์ในการอ่านและเปลี่ยนแปลงข้อมูลทั้งหมดบนเว็บไซต์อีกด้วย

Raydium ซึ่งเป็นระบบ Automated Market Maker (AMM) ที่สร้างบนบล็อกเชน Solana ก็รายงานว่า ผู้ใช้งานของพวกเขาที่ได้รับผลกระทบก็มีส่วนขยายตัวเดียวกันนี้ติดตั้งอยู่เช่นกัน

Jupiter เขียนบน X ว่า “คำสั่งที่เป็นอันตรายถูกเพิ่มเข้าไปในคำสั่งปกติของ Jupiter และ Raydium และธุรกรรมที่เกิดขึ้นก็ถูกลงนามโดยผู้ใช้งานตามปกติ แต่โทเค็นและสิทธิ์ของพวกเขาถูกโอนไปยังแอดเดรสที่เป็นอันตราย”

Bull Checker เป็นส่วนขยายแบบ “Read-Only”

Jupiter ยังระบุว่า ส่วนขยายที่เป็นอันตรายนี้เป็นแบบ ‘Read-Only’ ซึ่งช่วยให้ผู้ใช้งาน “ดูข้อมูลผู้ถือเหรียญมีม” ได้

“ไม่น่าจะมีความจำเป็นที่ส่วนขยายแบบนี้จะต้องอ่านหรือเขียนข้อมูลบนทุกเว็บไซต์ได้” Jupiter เพิ่มเติม

อย่างไรก็ตาม ผู้ใช้งานหลายคนยังคงติดตั้งและใช้ Bull Checker ถึงแม้ว่าจะมีสัญญาณอันตรายอย่างรุนแรงเช่นนี้

นอกจากนี้ Bull Checker ยังได้รับการโฆษณาโดยบัญชีนิรนามบน Reddit โดยมีเป้าหมายเป็นผู้ที่ต้องการเทรดเหรียญมีม จากนั้น บัญชี “Solana_OG” ก็ล่อลวงให้ผู้ใช้งานเหล่านั้นดาวน์โหลดส่วนขยาย

Jupiter ยังได้ระบุมาตรการความปลอดภัยบางอย่างที่ผู้ใช้งานต้องคำนึงถึงก่อนติดตั้งส่วนขยายใดๆ เช่นนี้