Publicado el 27 noviembre, 2025 por Mariana Flores
Un nuevo y sutil método de ataque ha sido descubierto en el ecosistema de Solana, poniendo en alerta a la comunidad cripto. Investigadores de seguridad han identificado una extensión maliciosa de Google Chrome que opera de una manera menos obvia que los típicos ataques de vaciado de billeteras: en lugar de robar todos los fondos de golpe, está diseñada para ir “descremando” o extrayendo pequeñas cantidades de SOL de las víctimas.
Este enfoque de "robo hormiga" representa una evolución en las tácticas de los ciberdelincuentes, buscando pasar desapercibido por más tiempo y maximizar las ganancias a largo plazo.
La Sutil Táctica del Descremado.
Tradicionalmente, las extensiones maliciosas de criptomonedas buscan obtener las claves privadas de la billetera o los datos de la seed phrase para luego ejecutar un barrido completo de todos los activos, vaciando la cuenta en una sola transacción. Esto, aunque lucrativo, alerta inmediatamente a la víctima.
La nueva amenaza opera con una sofisticación más silenciosa:
- Extracción Gradual: La extensión, que se disfraza como una herramienta legítima relacionada con Solana, parece estar configurada para desviar pequeñas cantidades de SOL (el token nativo de la red Solana) de las billeteras de los usuarios.
- Difícil Detección: Al robar cantidades insignificantes que podrían confundirse con tarifas de gas o transacciones menores, muchos usuarios podrían no notar la pérdida hasta que los montos se acumulen. La naturaleza sutil del robo le permite a los atacantes mantener la extensión activa y recolectando fondos durante un período prolongado.
¿Cómo Funciona la Trampa?
Aunque los detalles técnicos exactos de cómo logra eludir las medidas de seguridad siguen bajo investigación, el patrón general de este tipo de ataques se basa en:
- Suplantación de Identidad: La extensión se presenta en tiendas de aplicaciones o sitios de descarga de terceros como una herramienta útil o como una copia casi idéntica de una extensión legítima popular.
- Permisos Excesivos: Una vez instalada, solicita y obtiene permisos amplios sobre el navegador y, crucialmente, sobre las interacciones con la red Solana y las billeteras conectadas.
- Inyección Maliciosa: El código malicioso inyectado monitorea las transacciones del usuario o incluso inicia transacciones de baja cuantía hacia direcciones controladas por los atacantes.
Recomendaciones de Seguridad Cruciales.
Este incidente subraya la necesidad de ser extremadamente cauteloso al interactuar con el ecosistema de las finanzas descentralizadas (DeFi) a través de navegadores web:
- Verificación de Fuente: Nunca instale una extensión de Chrome (o cualquier navegador) a menos que esté seguro de que es la oficial y provenga directamente del sitio web del desarrollador o de un enlace verificado en la Chrome Web Store.
- Revisión de Permisos: Antes de instalar cualquier extensión, revise detenidamente los permisos que solicita. Si una extensión simple pide acceso para "leer y cambiar todos tus datos en los sitios web que visites", desconfíe.
- Billeteras de Hardware: Considere el uso de billeteras de hardware (hardware wallets) para almacenar la mayor parte de sus activos. Estas requieren una confirmación física para cada transacción, lo que previene que el software malicioso pueda mover fondos sin su consentimiento.
- Transacciones Pequeñas, Grandes Advertencias: Si nota alguna transacción pequeña y recurrente que no reconoce en el historial de su billetera, actúe de inmediato, desconectando la billetera de cualquier sitio y transfiriendo sus fondos a una billetera limpia.
Este caso en Solana es un recordatorio de que los actores maliciosos siempre están innovando. La vigilancia y la adopción de las mejores prácticas de seguridad son la primera y más importante línea de defensa en el mundo cripto.
Fuente: Cointelegraph
