Skryté rozšíření pro prohlížeč s názvem „Crypto Copilot“ bylo objeveno, které odčerpávalo transakční poplatky z uživatelských swapů na Solaně po několik měsíců, než jej identifikovala kyberbezpečnostní firma Socket.
Rozšíření, které bylo na Chrome Web Store k dispozici od června 2025, se vydávalo za obchodního asistenta pro uživatele Raydium, ale provádělo skryté instrukce pro převody spolu s legitimními transakcemi swapů.
Při instalaci Crypto Copilot do každého balíčku DEX swapů vložilo dodatečnou instrukci, která buď směrovala 0,0013 SOL, nebo 0,05 % částky swapu na peněženku ovládanou útočníkem. Využitím atomického provádění transakcí v Solaně rozšíření obcházelo varování v peněženkovém rozhraní, čímž přimělo nepozorné uživatele, aby souhlasili se současnými zamýšlenými i škodlivými převody.
Analýza na blockchainu odhalila dosud jen malý počet obětí s minimální kumulativní ztrátou. Nicméně zneužití roste lineárně s objemem obchodů a může odčerpat významné částky od obchodníků s vysokým objemem. Například swap 100 SOL by přesměroval 0,05 SOL, což při současných směnných kurzech odpovídá zhruba 10 USD za každou transakci.
Bezpečnostní experti uvedli, že backendová infrastruktura rozšíření postrádá provozní vyspělost. Hlavní doména cryptocopilot.app byla hostována u obecného hostingového poskytovatele, zatímco koncový bod dashboardu obsahoval typografické chyby a vracel prázdné stránky. Taková opomenutí naznačují, že zneužití pochází od amatérských aktérů nebo od freelance práce, spíše než od sofistikované kampaně s vazbami na stát.
Postupy Chrome Web Store umožnily, aby rozšíření zůstalo aktivní i přes automatizované kontrolní mechanismy. Socket podal formální žádost o stažení, ale k okamžiku zveřejnění zprávy byl požadavek na stažení v řešení.
Uživatelům se doporučuje provést audit nainstalovaných rozšíření, odebrat oprávnění k podepisování a migrovat prostředky do nových peněženek, pokud s kompromitovaným nástrojem interagovali.
Platformy kryptoměnových burz a poskytovatelé peněženek byli vyzváni, aby zavedli kontroly bílého seznamu rozšíření, workflow schvalování s více podpisy a dekódování transakcí v reálném čase pro detekci doplňkových instrukcí. Průmysloví stakeholdeři zvažují vylepšené heuristiky pro označování složených transakcí, které se odchylují od typických vzorců swapů.
Pozoruhodně tento incident zdůrazňuje širší rizika spojená s udělováním podpisových oprávnění rozšířením prohlížeče, neboť uzavřený kód může skrývat škodlivou logiku. Do budoucna byly navrženy opatření prostřednictvím komunitních auditů, open-source nástrojů a decentralizovaných podpisových protokolů pro ochranu toků aktiv na řetězci.
S rostoucí aktivitou v DeFi útok zdůrazňuje nutnost zavedení přísných bezpečnostních standardů v uživatelském rozhraní. Vývojáři a správci peněženek musí spolupracovat na vyvážení uživatelsky pohodlných funkcí s robustními bezpečnostními kontrolami, aby souhlasy uživatelů přesně odrážely jednotlivé instrukce na řetězci. Bez takových opatření se podobné útoky na odčerpávání poplatků nebo přesměrování prostředků mohou rozšířit napříč platformami.
Výzkumníci nadále sledují peněženku útočníka pro další transakce a koordinují spolupráci s orgány činnými v trestním řízení k dohledání ukradených prostředků. Komunita Solana, provozovatelé burz a kyberbezpečnostní firmy spolupracují na sdílení informací o hrozbách a posilování osvědčených postupů pro bezpečné interakce v decentralizovaném obchodování.
Komentáře (0)