Скрито разширение за браузър, обозначено като „Crypto Copilot“, беше открито, което източва таксите за транзакции от размяните на Solana на потребителите за месеци, преди фирмата за киберсигурност Socket да го идентифицира. Разширението, налично в Chrome Web Store от юни 2025 г., се представяше като помощник за търговия на потребителите на Raydium, но изпълняваше скрити инструкции за прехвърляне заедно с легитимните транзакции за размяна.
При инсталацията „Crypto Copilot“ вгради допълнителна инструкция във всеки пакет за размяна на DEX, като пренасочваше или 0.0013 SOL, или 0.05% от сумата на размяната към портфейл, контролиран от атакуващия. Като използва атомното изпълнение на транзакции в Solana, разширението заобиколи предупрежденията на потребителския интерфейс на портфейла, карайки неподозиращите потребители да одобрят както целевите, така и злонамерените прехвърляния едновременно.
Анализът на веригата в блокчейна разкри малък брой жертви досега, с минимална сукупна загуба. Въпреки това експлоатът се мащабира линейно със обема на търговията, потенциално да източва значителни суми от търговци с висок обем. Например размяна от 100 SOL би пренасочила 0.05 SOL, еквивалентно на приблизително 10 долара според актуалните обменни курсове за всяка транзакция.
Сигурностните експерти отбелязаха, че бекенд инфраструктурата на разширението липсва оперативна зрялост. Основният домейн cryptocopilot.app беше паркиран на общ хостинг услуга, докато крайният точка на таблото съдържаше правописни грешки, връщайки празни страници. Такива пропуски подсказват, че експлоитът произхожда от аматьорски заплахи или фрийланс-усилия, а не от сложна кампания, координирана от държавно-оригинирана.
Процедурите на Chrome Web Store позволиха разширението да остане активно въпреки автоматизираните механизми за преглед. Socket подаде формално искане за сваляне, но към момента на доклада премахването все още беше в процес. Потребителите се призовават да проверят инсталираните разширения, да отмени правата за подписване и да преместят средствата си в нови портфейли, ако са използвали компрометиран инструмент.
Платформи за криптообмен и доставчици на портфейли са призовани да въведат контроли за белия списък на разширения, работни процеси за одобрение с множество подписи и декодиране на транзакциите в реално време, за да се открият прикачените инструкции. Индустриалните заинтересовани страни оценяват подобрени евристики за откриване на сложни транзакции, които се отклоняват от типичните модели на размяна.
Забележително е, че инцидентът подчертава по-широк риск върху предоставянето на правомощия за подписване на браузърни разширения, тъй като затвореният код може да скрие злонамерена логика. Одити, водени от общността, инструменти с отворен код и децентрализирани протоколи за подписване са предложени като стратегии за намаляване на риска за защита на потока на ончейн активи.
С нарастването на DeFi активността атаката подчертава необходимостта от строги стандарти за сигурност на слоя на потребителския интерфейс. Разработчиците и пазителите трябва да си сътрудничат, за да балансират удобните функции с надеждни проверки за сигурност, гарантирайки че одобренията на потребителите точно отразяват отделни ончейн инструкции. Без подобни мерки подобни източвания на такси или пренасочване на средства може да се разпространят по платформите.
Изследователите продължават да следят портфейла на нападателя за допълнителни транзакции и да координират с правоохранителните органи за проследяване на откраднатите средства. Общността на Solana, операторите на обмяна и фирмите за киберсигурност работят заедно, за да споделят информация за заплахи и да засилят най-добрите практики за сигурни браузърни взаимодействия в децентрализирани търговски среди.
Коментари (0)