安全研究人员披露,Crypto Copilot,一个Chrome扩展程序,一直在从试图在Raydium上进行交换的用户那里悄悄提取SOL。该扩展程序并不是直接 draining 钱包,而是将一个隐藏的转账指令附加到合法交易上,直接将至少0.0013 SOL或0.05%的交易价值 siphoning 到攻击者的钱包中。
隐藏转账如何悄然绕过钱包屏幕
该扩展于2024年6月18日在Chrome网上应用店上线,由开发者账号“sjclark76”发布,旨在成为紧跟X的交易者的完美伴侣,承诺通过与DexScreener集成以获取定价、与Helius连接以获取区块链访问以及与Phantom和Solflare等主流钱包的整合,实现直接从动态信息中进行即时交换。
当用户发起交换时,扩展程序会在交易到达钱包之前静默地修改该交易。
恶意代码注入了一条额外的 SystemProgram.transfer 指令,将资金路由到一个硬编码的接收地址。由于合法的交换和盗窃合并为一个原子交易,钱包的确认屏幕仅显示预期的交易详情。额外的转账保持隐形,除非用户有意识地展开并检查每条指令,而这一步骤只有少数交易者会执行。
该扩展的源代码被严重压缩和隐藏,而其所谓的官方网站 cryptocopilot.app 仍然是一个没有功能内容的 GoDaddy 停放域名。截至2025年11月27日,扩展 Crypto Copilot 仍然可以在 Chrome 网上应用店中找到,已知的安装数量仅为 12 和 15。
用户在为时已晚之前必须做的事情
该虹吸方案于2025年11月25日由安全公司Socket披露,经过对该扩展的全面逆向工程。根据研究员Kush Pandya的说法,转账会悄悄添加并转发到个人钱包,而不是任何协议的钱库,这意味着大多数受害者在签署之前不会注意到,除非他们仔细审查每一条指令。
Socket已向Google提交了移除请求。这一事件发生在对Solana用户的一系列类似攻击之后,包括在2024年8月被标记的Bull Checker扩展和在2025年11月早些时候被标记的另一个高排名钱包,这些钱包使用类似的策略。
曾经安装过加密货币副驾驶的用户被建议立即删除该扩展,迁移剩余资金到一个新钱包,并使用 revoke.cash 等服务撤销所有相关授权。
向前看,建议交易者和投资者在签署之前手动审核每笔交易指令,特别是在使用第三方浏览器扩展与Solana协议互动时。
本文章最初发表为《明目张胆的隐藏费用骗局:加密货币助手如何悄悄掏空Solana交易者》,刊登在加密货币最新动态——您可信赖的加密货币新闻、比特币新闻和区块链更新来源。
相关文章
现在最佳加密货币:SOL 和 LINK 反弹,但 Pepeto 目标 100 倍,Ethereum 基金会计划将 ETH 打造成 AI 的信任层
