SCENEを見る
便利な取引ツールとして販売されているChrome拡張機能が、昨年の6月以来、ユーザーのスワップからSOLを秘密裏に吸い上げており、正当なSolana取引アシスタントを装いながら、すべての取引に隠れた手数料を注入しています。
サイバーセキュリティ企業ソケットは、Chromeウェブストアの「継続的監視」においてマルウェア拡張機能Crypto Copilotを発見したと、セキュリティエンジニア兼研究者のクッシュ・パンディヤがDecryptに語った。
🚨 ソケット研究者たちは、Raydiumスワップに隠れた#SOLトランスファーを注入する悪意のあるChrome拡張機能を発見しました。これにより、攻撃者のウォレットに手数料が静かに吸い上げられています。
フル分析 → #ソラナ
—ソケット (@SocketSecurity) 2025年11月25日
水曜日に公開された悪意のある拡張機能の分析の中で、PandyaはCrypto CopilotがすべてのSolanaスワップに静かに追加の送金指示を追加し、攻撃者が制御するウォレットに最低0.0013 SOLまたは取引金額の0.05%を抽出することを書きました。
「私たちのAIスキャナーは、複数の指標を警告しました:攻撃的なコードの難読化、トランザクションロジックに埋め込まれたハードコーディングされたSolanaアドレス、拡張機能の記載された機能と実際のネットワークの動作との間の不一致です」とPandyaはDecryptに語り、「これらのアラートは、隠れた手数料抽出メカニズムを確認するためのより深い手動分析を引き起こしました。」
調査は、特にソーシャルメディア統合と取引署名機能を組み合わせた拡張機能において、ブラウザベースの暗号ツールのリスクを指摘しています。
報告によると、この拡張機能は数ヶ月間Chromeウェブストアで利用可能であり、重度に難読化されたコードに埋め込まれた未開示の手数料についてユーザーに警告することはなかった。
"手数料の動作はChromeウェブストアのリストに決して公開されず、それを実装するロジックは高度に難読化されたコードの中に埋もれている"とPandyaは述べた。
ユーザーがトークンをスワップするたびに、拡張機能は適切なRaydiumスワップ命令を生成しますが、攻撃者のアドレスにSOLを転送するための追加の転送を密かに付加します。
RaydiumはSolanaベースの分散型取引所および自動マーケットメイカーであり、"Raydiumスワップ"は単にその流動性プールを通じて一つのトークンを別のトークンに交換することを指します。
Crypto Copilotをインストールしたユーザーは、それがSolana取引を効率化すると思っていましたが、実際にはスワップごとに隠れた手数料を支払っていたことに気づいていませんでした。その手数料は、拡張機能のマーケティング資料やChromeウェブストアのリストには決して表示されていませんでした。
インターフェースはスワップの詳細のみを表示し、ウォレットのポップアップは取引を要約するため、ユーザーは一つのスワップのように見えるものにサインしますが、実際には両方の指示が同時にオンチェーンで実行されます。
攻撃者のウォレットには、これまでのところ少額しか受け取っていない。これは、Crypto Copilot がまだ多くのユーザーに届いていないことを示しているに過ぎず、報告によれば、脆弱性が低リスクであることを示すものではない。
手数料メカニズムは取引サイズに応じてスケールします。2.6 SOL未満のスワップには最低0.0013 SOLの手数料が適用され、その閾値を超えると0.05%の割合手数料が適用されます。つまり、100 SOLのスワップでは0.05 SOLが引かれ、現在の価格ではおおよそ$10 になります。
拡張機能の主要なドメイン cryptocopilot[.]app は、ドメインレジストリ GoDaddy によってパークされていますが、crypto-coplilot-dashboard[.]vercel[.]app でのバックエンドは、顕著なスペルミスがあり、ウォレットデータを収集しているにもかかわらず、空白のプレースホルダーページしか表示していないと報告されています。
SocketはGoogleのChromeウェブストアのセキュリティチームに削除リクエストを提出しましたが、公開時点では拡張機能は利用可能でした。
プラットフォームは、ユーザーに取引に署名する前に各指示を確認するよう促し、署名権限を要求するクローズドソースの取引拡張機能を避け、Crypto Copilotをインストールした場合はクリーンなウォレットに資産を移行するように求めています。
マルウェアは暗号通貨ユーザーにとってますます懸念されています。9月には、ModStealerというマルウェアが、偽の求人広告を通じてWindows、Linux、macOSの暗号財布を標的にしていることが発見され、主要なアンチウイルスエンジンによる検出をほぼ1か月間回避していました。
LedgerのCTOチャールズ・ギルメットは以前、攻撃者がNPM開発者アカウントを侵害し、複数のブロックチェーンにわたる取引中に暗号ウォレットアドレスを静かに入れ替えようとする悪意のあるコードを試みたと警告しています。
関連記事
Bonk.funのハッキングにより、Solanaユーザーがウォレットドレイナー攻撃の危険にさらされる
Pump.funの累計収益は10億8000万ドルに達し、Solana初の10億ドル突破プラットフォームとなる
