Una extensió de navegador furtiva anomenada 'Crypto Copilot' va ser descoberta drenant les comissions de transacció dels intercanvis de Solana dels usuaris durant mesos abans de ser identificada per l'empresa de ciberseguretat Socket. L'extensió, disponible a la Chrome Web Store des de juny de 2025, es presentava com un assistent de negociació per als usuaris de Raydium, però executava instruccions de transferència ocultes al costat de les transaccions d'intercanvi legÃtimes.
En la instal·lació, 'Crypto Copilot' injectava una instrucció addicional en cada paquet d'intercanvi DEX, desviant ja sigui 0,0013 SOL o 0,05% de la quantitat de l'intercanvi cap a un moneder controlat per l'atacant. En aprofitar l'execució atòmica de transaccions a Solana, l'extensió va eludir les advertències de la interfÃcie del moneder, provocant que els usuaris desprevinguts autoritzessin al mateix temps transferències tant previstes com malicioses.
L'anà lisi en cadena va revelar fins ara un petit nombre de vÃctimes, amb pèrdues acumulatives mÃnimes. No obstant això, l'explot pot escalar linealment amb el volum de transaccions, i podria desviar quantitats substancials dels comerciants d'alt volum. Per exemple, un intercanvi de 100 SOL desviaria 0,05 SOL, equivalent a al voltant de 10 dòlars segons els tipus de canvi vigents, per transacció.
Els experts en seguretat van observar que la infraestructura de backend de l'extensió no tenia maduresa operativa. El domini principal, cryptocopilot.app, estava allotjat en un servei d'allotjament genèric, mentre que l'endpoint del tauler de control contenia errors tipogrà fics i retornava pà gines en blanc. Tals descuits suggereixen que l'explot va originar-se a partir d'actuants aficionats o d'un esforç freelance més que d'una campanya sofisticada alineada amb un estat.
Els procediments de Chrome Web Store permetien que l'extensió seguÃs en funcionament malgrat els mecanismes de revisió automatitzats. Socket va presentar una sol·licitud formal de retirada, però al moment de l'informe, la retirada estava pendent. Es recomana als usuaris auditar les extensions instal·lades, revocar els privilegis de signatura i transferir els fons a noves carteres si van interactuar amb l'eina compromesa.
Les plataformes d'intercanvi de criptomonedes i els proveïdors de carteres han estat instats a implementar controls de llistat blanc per a extensions, fluxos d'aprovació amb signatura múltiple i desxiframent de transaccions en temps real per detectar instruccions afegides. Les parts interessades de la indústria estan valorant heurÃstiques millorades per detectar transaccions compostes que s'allunyen dels patrons d'intercanvi tipus.
Cal destacar que l'incident posa de manifest els riscos més amplis inherents a concedir privilegis de signatura per a extensions de navegador, ja que el codi tancat pot ocultar lògica maliciosa. Auditories impulsades per la comunitat, eines de codi obert i protocols de signatura descentralitzats s'han proposat com estratègies de mitigació per protegir els fluxos d'actius en la cadena.
A mesura que l'activitat DeFi creix, l'atac posa de manifest la necessitat de normes de seguretat estrictes a la capa d'interfÃcie d'usuari. Desenvolupars i custodis han de col·laborar per equilibrar les caracterÃstiques de comoditat amb controls de seguretat robusts, assegurant que les aprovacions dels usuaris reflecteixin amb precisió instruccions discretes en la cadena. Sense aquestes mesures, explotacions similars de desviament de comissions o de redirecció de fons podrien proliferar a les plataformes.
Els investigadors continuen monitoritzant el moneder de l'atacant per a futures transaccions i coordinar-se amb les forces de seguretat per rastrejar els fons robats. La comunitat de Solana, els operadors d'intercanvi i les empreses de ciberseguretat estan treballant conjuntament per compartir intel·ligència sobre amenaces i reforçar les millors prà ctiques per a interaccions segures amb navegadors en entorns de negociació descentralitzats.
Comentaris (0)