Chrome Extension greift sich Solana-Coins
Sicherheitsforscher entdeckten, dass die Chrome-Erweiterung "Bull Checker" es offenbar gezielt auf das Solana-Netzwerk abgesehen hat.
Nach Hinweisen von betroffenen Kunden haben Sicherheitsexperten entdeckt, dass eine Chrome-Erweiterung es offenbar gezielt auf Solana-Coins (SOL) abgesehen hat. Mehrere Kunden hatten sich darĂĽber beschwert, dass Solana-Token illegal transferiert worden waren.
Die größte dezentrale Solana-Börse Jupiter hat inzwischen eine Sicherheitsmitteilung herausgegeben, in der sie vor der bösartigen Browser-Erweiterung warnt. Der unter dem Pseudonym Meow agierende Jupiter-Gründer analysiert in dem Beitrag die Browsererweiterung "Bull Checker". Das Plug-in für Google Chrome war als Toolkit zur Anzeige von Memecoins getarnt. Über Reddit-Postings (Subreddits) wurde in bestimmten Fachforen versucht, gezielt Solana-Nutzer zur Installation der Malware zu motivieren.
Jupiter als Protokoll und Plattform
Anders als bei herkömmlichen Kryptowallets sind die betroffenen Wallets im Solana-Ökosystem anders aufgebaut und anscheinend besonders anfällig für Manipulationen. Jupiter ist keine Handelsplattform im herkömmlichen Sinne, sondern ein auf Solana basierender Aggregator für dezentrale Börsen (DEX). Dieser ist darauf ausgelegt, Tauschmöglichkeiten für alle unterstützten Token-Paare zu sichern.
Anfällig für die Malware ist laut Meow nicht nur Jupiter, sondern ebenfalls das im Solana-Ökosystem laufende Raydium. Nachdem anfangs unklar war, wie es zu diesen eingefügten Transaktions-Anweisungen kam, stellte sich schnell die Bull-Checker-Erweiterung als Ursache dafür heraus. Nachdem Bull Checker installiert ist, wartet die Erweiterung darauf, dass ein Nutzer eine reguläre Anwendung über Jupiter (oder Raydium) nutzt. Dabei manipuliert die Malware dann vorgenommene Transaktionen, ohne von den bestehenden Sicherungsmechanismen entdeckt zu werden.
In seinem Posting dokumentiert Meow den Ablauf und beschreibt, wie regulären Jupiter-Anweisungen illegale Transaktionen über Malware hinzugefügt wurden. Die vollständige Entfernung der Malware erfolgt durch Deinstallieren der Erweiterung im Konfigurationsmenü von Chrome. Meow gibt dabei in seinem Posting zu, dass diese akute Sicherheitslücke nun zwar geschlossen sein, er aber nicht ausschließen kann, dass es noch andere im Umlauf befindliche Solana-Malware-Extensions gibt. "Es gibt Berichte über andere (Solana-) Abflüsse, die wir nicht ausfindig machen konnten", so der Gründer. Als Abhilfe empfiehlt er, verdächtige Erweiterungen vorsorglich zu entfernen und nur Software aus sicheren Quellen zu installieren. Die Kryptowährung Solana war schon häufiger Ziel von Hacker-Attacken.
(usz)