セキュリティ研究者は、Chrome拡張機能であるCrypto Copilotが、Raydiumでスワップしようとするユーザーから継続的にSOLを抜き取っていることを明らかにしました。ウォレットを直接空にするのではなく、この拡張機能は正当な取引に隠れた転送指示を添付し、少なくとも0.0013 SOLまたは取引価値の0.05%を攻撃者のウォレットに直接 siphoning しています。
ウォレットの画面をすり抜けた隠れた転送の方法
2024年6月18日に「sjclark76」として登録された開発者アカウントによってChromeウェブストアで公開されたこの拡張機能は、Xに夢中なトレーダーのための理想的なコンパニオンとして位置づけられ、価格のためにDexScreenerと統合し、ブロックチェーンアクセスのためにHelius、PhantomやSolflareのような主流のウォレットと連携することで、フィードから直接瞬時にスワップを約束しています。
ユーザーがスワップを開始すると、拡張機能は取引がウォレットに到達する前に静かに変更します。
悪意のあるコードは、資金をハードコーディングされた受取人アドレスにルーティングする追加のSystemProgram.transfer命令を注入します。正当なスワップと盗難が単一のアトミックトランザクションに組み合わされるため、ウォレットの確認画面には期待される取引の詳細のみが表示されます。追加の転送は、ユーザーが意識的にすべての命令を展開して確認しない限り、目に見えないままです。この手順は、わずかなトレーダーしか行いません。
その拡張機能のソースコードは非常に圧縮されて隠されており、公式ウェブサイトとされる cryptocopilot.app は、機能するコンテンツがない GoDaddy のパークドメインのままです。2025年11月27日現在、拡張機能 Crypto Copilot は、Chrome ウェブストアで 12 と 15 の既知のインストール数のままでまだ利用可能です。
ユーザーが手遅れになる前に何をすべきか
このサイフォンスキームは、2025年11月25日にセキュリティ会社Socketによって開示され、拡張機能の完全なリバースエンジニアリングが行われました。研究者のKush Pandyaによれば、転送はプロトコルの財務ではなく、個人のウォレットに静かに追加され、転送されるため、ほとんどの被害者はサインする前にすべての指示を注意深く確認しない限り、気付くことはありません。
SocketはGoogleに削除リクエストを提出しました。この事件は、2024年8月にフラグが立てられたBull Checker拡張機能や、2025年11月に以前にフラグが立てられた別の高ランクのウォレットなど、Solanaユーザーに対する一連の類似の攻撃に続くものです。これらは類似の戦術を使用して運営されています。
Crypto Copilotをインストールしたことがあるユーザーは、すぐに拡張機能を削除し、残っている資金を新しいウォレットに移動し、revoke.cashなどのサービスを使用して関連するすべての承認を取り消すことをお勧めします。
今後、トレーダーや投資家は、特にSolanaプロトコルと対話するためにサードパーティのブラウザ拡張機能を使用する際には、署名する前にすべての取引指示を手動で確認することを推奨されます。
この記事は、暗号資産ニュース、ビットコインニュース、ブロックチェーンの最新情報の信頼できる情報源であるCrypto Breaking Newsにて、「隠れた手数料詐欺が見え隠れしている:Crypto Copilotがソラナトレーダーを静かに搾取した方法」として最初に公開されました。
関連記事
今週、米国のイーサリアム現物ETFは純流出6000万ドル、Solana ETFは純流入2040万ドルでした
