警惕新型恶意扩展！Crypto Copilot窃取Solana用户每笔交易0.05%资产

Socket 威胁研究团队最新发现，一款名为 Crypto Copilot 的 Chrome 扩展程序自 2024 年 6 月上线以来，持续窃取 Solana 交易者的资金。该扩展会在每笔 Raydium 兑换交易中秘密附加额外指令，转移至少 0.0013 SOL 或交易额的 0.05% 到攻击者控制的钱包。目前该扩展仍在 Chrome 应用商店在线运营，研究人员已向 Google 提交下架请求但尚未获得处理确认。

恶意代码运作机制深度剖析

Crypto Copilot 扩展通过高度混淆的 JavaScript 代码掩盖其恶意行为，在用户执行正常的 Raydium 兑换操作时构造两个连续指令。表面上扩展生成标准的兑换指令，实际上随后会附加第二个转移指令，将用户资金转入地址为 Bjeida 的攻击者钱包。这种精心设计的双指令结构使得用户在界面上仅能看到合法的兑换操作，而大多数钱包确认窗口也只显示交易的高级摘要而非完整指令列表。

（来源：Socket）

该扩展的收费逻辑完全硬编码在程序内部，采用最低收费与比例收费孰高原则。具体而言，每笔交易至少窃取 0.0013 SOL，当交易金额超过 2.6 SOL 时则按 0.05% 的比例抽取资金。这种阶梯式设计既保障了小额交易中的基本收益，又确保了大额交易中能获取更高利润，显示出攻击者对收益最大化的精细考量。

研究人员发现扩展程序还通过变量重命名和积极的最小化压缩来隐藏恶意行为，攻击者钱包地址被深埋在代码包的无关变量标签下。除了资金窃取功能，扩展还会定期将连接的钱包标识符和活动数据发送到名为 crypto-coplilot-dashboard.vercel.app 的后端，这个拼写错误的域名目前仅显示空白占位页面，反映出攻击者基础设施的粗糙性。

恶意扩展技术特征与数据汇总

攻击手法

• 目标网络：Solana
• 攻击对象：Raydium 交易用户
• 窃取比例：0.05% 或最低 0.0013 SOL
• 隐蔽手段：交易指令追加、代码混淆

技术细节

• 使用硬编码 Helius API 密钥进行交易模拟
• 连接至拼写错误域名后端
• 通过变量重命名隐藏恶意代码

影响范围

• 上线时间：2024 年 6 月
• 当前状态：Chrome 商店仍可下载
• 数据泄露：钱包标识符与交易数据

浏览器扩展攻击的行业背景与趋势

2025 年浏览器扩展已成为最持久的加密攻击载体之一，这一趋势在 Socket 团队发布 Crypto Copilot 分析报告时得到进一步印证。回顾 7 月份的安全事件，超过 40 个恶意 Firefox 扩展被发现冒充主流钱包提供商，包括 MetaMask、Coinbase、Phantom、OKX 和 Trust Wallet。这些伪造扩展直接从用户浏览器中获取钱包凭证，并将其传输到攻击者控制的服务器。

交易所对此类威胁的反应日益迅速。OKX 在发现冒充官方钱包工具的伪造插件后，公开发出警告并向相关部门提交投诉。这种主动应对反映了行业对浏览器扩展攻击危害性的认识提升，但扩展审核机制的漏洞仍然让恶意程序有机可乘。

从损失规模来看，CertiK 数据显示 2025 年上半年被窃取的 22 亿美元中，钱包相关漏洞占比高达 17 亿美元，钓鱼事件又额外造成 4.1 亿美元损失。尽管整体安全形势在 10 月份出现好转——PeckShield 记录显示当月仅发生 15 起安全事件，总损失 1818 万美元，创下年度最低水平——但浏览器扩展威胁却呈现逆势上升态势。

用户防护策略与风险缓解建议

面对日益复杂的浏览器扩展威胁，Solana 用户及其他加密参与者需要建立多层次防护体系。首要原则是仔细审查扩展权限请求，特别是那些要求访问所有网站数据或输入敏感信息的扩展。安装前应验证开发者身份，查看用户评价和历史更新记录，对新兴且缺乏口碑积累的工具保持特别警惕。

交易习惯的优化同样关键。用户应在执行每笔交易前仔细检查钱包确认窗口中的完整交易详情，而不仅仅依赖高级摘要。对于 Solana 生态用户，可考虑使用支持交易指令解析的钱包，这些工具能够将复杂的交易指令分解为更易理解的组成部分，帮助识别异常操作。

从技术防护角度，定期审查已安装的浏览器扩展并及时移除不必要或可疑的组件是有效预防措施。使用专门的浏览器进行加密操作，与日常浏览活动隔离，也能显著降低风险暴露。硬件钱包虽然无法完全阻止此类攻击，但能为大额资产提供额外安全层，限制潜在损失规模。

平台责任与行业协作的迫切需求

Chrome 应用商店审核机制的失效在此次事件中暴露无遗。Crypto Copilot 扩展能够自 6 月份起持续运营近半年而未被打断，反映出平台方在恶意代码检测方面的技术短板。虽然 Socket 团队已提交下架请求，但 Google 的处理延迟可能导致更多用户受害，这种响应速度与加密行业的安全需求严重不匹配。

从行业自律角度看，钱包提供商需要承担更多教育责任。通过改进交易确认界面的信息展示方式，提供更直观的风险提示，可以帮助用户更好地识别异常交易。像 Phantom 这样的主流钱包已开始探索交易模拟功能，在签名前向用户展示交易的预期结果，这一特性对检测隐藏指令尤为有效。

监管协调也是应对扩展威胁的重要环节。各国金融监管机构应加强对浏览器扩展市场的监督，建立与平台方的快速通报机制。同时，执法部门需要提升对链上资金追踪的技术能力，以便在发现恶意扩展时能快速冻结涉案资金，为受害者挽回损失创造可能性。

安全威胁演进与生态防御体系建设

Crypto Copilot 事件不仅是一个独立的安全警告，更是浏览器扩展威胁持续演进的最新例证。随着加密行业主流化进程加速，攻击者的技术精细程度也在不断提升，从简单的钓鱼网站到复杂的代码混淆，防御方需要以同样速度升级应对策略。对于普通用户而言，培养安全意识和审慎习惯是最有效的防护盾牌；对于行业参与者，构建共享威胁情报和快速响应机制则是确保生态健康发展的基石。在可预见的未来，浏览器扩展仍将是攻击者的重要突破口，唯有通过用户教育、技术改进和监管协作的三重努力，才能在这场持续的安全攻防战中占据主动。