發現場景
一款作爲便捷交易工具的Chrome擴展,自去年六月以來一直在祕密 siphoning 用戶的 SOL,通過在每筆交易中注入隱藏費用,同時僞裝成合法的Solana交易助手。
網路安全公司Socket在對Chrome Web Store進行"持續監控"時發現了惡意擴展Crypto Copilot,安全工程師兼研究員Kush Pandya告訴Decrypt。
🚨 Socket研究人員發現了一個惡意的Chrome擴展,它在Raydium交換中注入隱藏的#SOL轉帳,悄悄地將費用 siphon 到攻擊者的錢包。
完整分析 → #Solana
— 插座 (@插座安全) 2025年11月25日
在周三發布的關於惡意擴展的分析中,Pandya 寫道,Crypto Copilot 安靜地在每個 Solana 交換中附加了一條額外的轉帳指令,將至少 0.0013 SOL 或 交易金額的 0.05% 提取到攻擊者控制的錢包中。
"我們的AI掃描儀標記了多個指標:激進的代碼混淆、嵌入交易邏輯中的硬編碼Solana地址,以及擴展聲明的功能與實際網路行爲之間的差異,"Pandya對Decrypt表示,並補充道:“這些警報觸發了更深入的手動分析,確認了隱藏的費用提取機制。”
研究指出基於瀏覽器的加密工具存在風險,特別是那些將社交媒體集成與交易籤名功能相結合的擴展。
報告稱,這個擴展在Chrome網上應用店已經可用數月,但沒有警告用戶關於隱藏在高度混淆代碼中的未披露費用。
“費用行爲在 Chrome 網上應用店的列表中從未披露,而實現它的邏輯則隱藏在 heavily obfuscated 代碼中,” Pandya 指出。
每次用戶交換代幣時,擴展都會生成適當的Raydium交換指令,但會悄悄附加一個額外的轉帳,將SOL指向攻擊者的地址。
Raydium是一個基於Solana的去中心化交易所和自動化做市商,而"Raydium swap"則指通過其流動性池交換一種代幣爲另一種代幣。
安裝了Crypto Copilot的用戶認爲它會簡化他們的Solana交易,卻在每次兌換中無意中支付了隱藏費用,這些費用從未出現在該擴展的營銷材料或Chrome Web Store列表中。
界面僅顯示交換細節,錢包彈出窗口總結交易,因此用戶簽署看起來像是單一交換的內容,盡管這兩個指令在鏈上同時執行。
攻擊者的錢包迄今只收到少量資金,這表明Crypto Copilot尚未觸及許多用戶,而不是表明該漏洞風險低,報告中提到。
費用機制與交易規模成比例,對於少於 2.6 SOL 的兌換,適用最低 0.0013 SOL 的費用,超過該閾值後適用 0.05% 的百分比費用,這意味着 100 SOL 的兌換將提取 0.05 SOL,按當前價格大約爲 $10 。
該擴展的主域名 cryptocopilot[.]app 由域名註冊商 GoDaddy 停放,而後端 crypto-coplilot-dashboard[.]vercel[.]app,顯著拼寫錯誤,僅顯示一個空白佔位頁面,盡管收集了錢包數據,報告稱。
Socket已向谷歌Chrome網上應用店安全團隊提交了下架請求,但截至出版時,該擴展仍可用。
該平台已敦促用戶在簽署交易之前仔細審查每個指令,避免請求籤名權限的閉源交易擴展,並在安裝了 Crypto Copilot 的情況下將資產遷移到幹淨的錢包。
惡意軟件仍然是加密用戶日益關注的問題。在九月份,一種名爲ModStealer的惡意軟件被發現通過虛假的招聘廣告針對Windows、Linux和macOS上的加密錢包,在主要的防病毒引擎中隱匿了近一個月。
Ledger首席技術官Charles Guillemet此前警告稱,攻擊者已破壞了一個NPM開發者帳戶,惡意代碼試圖在多個區塊鏈交易中悄悄地交換加密錢包地址。
相關文章
