惡意軟件Chrome擴展程序祕密從Solana交易者那裏 siphoned 費用達數月

簡要

• Chrome擴展程序Crypto Copilot祕密地在每個Raydium交換中添加一個隱藏的SOL轉帳，將費用 siphoning 到攻擊者的錢包。
• 安全平台 Socket 發現該擴展使用了混淆代碼和一個拼寫錯誤的、未激活的後端域名來掩蓋其活動。
• 鏈上盜竊到目前爲止仍然很少，但該機制會隨着交易規模擴大，並且擴展仍在 Chrome 網上應用店上線。

Decrypt的藝術、時尚和娛樂中心。

發現場景

一款作爲便捷交易工具的Chrome擴展，自去年六月以來一直在祕密 siphoning 用戶的 SOL，通過在每筆交易中注入隱藏費用，同時僞裝成合法的Solana交易助手。

網路安全公司Socket在對Chrome Web Store進行"持續監控"時發現了惡意擴展Crypto Copilot，安全工程師兼研究員Kush Pandya告訴Decrypt。

🚨 Socket研究人員發現了一個惡意的Chrome擴展，它在Raydium交換中注入隱藏的#SOL轉帳，悄悄地將費用 siphon 到攻擊者的錢包。

完整分析 → #Solana

— 插座 (@插座安全) 2025年11月25日

在周三發布的關於惡意擴展的分析中，Pandya 寫道，Crypto Copilot 安靜地在每個 Solana 交換中附加了一條額外的轉帳指令，將至少 0.0013 SOL 或 交易金額的 0.05% 提取到攻擊者控制的錢包中。

"我們的AI掃描儀標記了多個指標：激進的代碼混淆、嵌入交易邏輯中的硬編碼Solana地址，以及擴展聲明的功能與實際網路行爲之間的差異，"Pandya對Decrypt表示，並補充道：“這些警報觸發了更深入的手動分析，確認了隱藏的費用提取機制。”

研究指出基於瀏覽器的加密工具存在風險，特別是那些將社交媒體集成與交易籤名功能相結合的擴展。

報告稱，這個擴展在Chrome網上應用店已經可用數月，但沒有警告用戶關於隱藏在高度混淆代碼中的未披露費用。

“費用行爲在 Chrome 網上應用店的列表中從未披露，而實現它的邏輯則隱藏在 heavily obfuscated 代碼中，” Pandya 指出。

每次用戶交換代幣時，擴展都會生成適當的Raydium交換指令，但會悄悄附加一個額外的轉帳，將SOL指向攻擊者的地址。

Raydium是一個基於Solana的去中心化交易所和自動化做市商，而"Raydium swap"則指通過其流動性池交換一種代幣爲另一種代幣。

安裝了Crypto Copilot的用戶認爲它會簡化他們的Solana交易，卻在每次兌換中無意中支付了隱藏費用，這些費用從未出現在該擴展的營銷材料或Chrome Web Store列表中。

界面僅顯示交換細節，錢包彈出窗口總結交易，因此用戶簽署看起來像是單一交換的內容，盡管這兩個指令在鏈上同時執行。

攻擊者的錢包迄今只收到少量資金，這表明Crypto Copilot尚未觸及許多用戶，而不是表明該漏洞風險低，報告中提到。

費用機制與交易規模成比例，對於少於 2.6 SOL 的兌換，適用最低 0.0013 SOL 的費用，超過該閾值後適用 0.05% 的百分比費用，這意味着 100 SOL 的兌換將提取 0.05 SOL，按當前價格大約爲 $10 。

該擴展的主域名 cryptocopilot[.]app 由域名註冊商 GoDaddy 停放，而後端 crypto-coplilot-dashboard[.]vercel[.]app，顯著拼寫錯誤，僅顯示一個空白佔位頁面，盡管收集了錢包數據，報告稱。

Socket已向谷歌Chrome網上應用店安全團隊提交了下架請求，但截至出版時，該擴展仍可用。

該平台已敦促用戶在簽署交易之前仔細審查每個指令，避免請求籤名權限的閉源交易擴展，並在安裝了 Crypto Copilot 的情況下將資產遷移到幹淨的錢包。

惡意軟件模式

惡意軟件仍然是加密用戶日益關注的問題。在九月份，一種名爲ModStealer的惡意軟件被發現通過虛假的招聘廣告針對Windows、Linux和macOS上的加密錢包，在主要的防病毒引擎中隱匿了近一個月。

Ledger首席技術官Charles Guillemet此前警告稱，攻擊者已破壞了一個NPM開發者帳戶，惡意代碼試圖在多個區塊鏈交易中悄悄地交換加密錢包地址。