Eine unauffällige Browser-Erweiterung mit dem Namen 'Crypto Copilot' wurde entdeckt, die über Monate hinweg Transaktionsgebühren aus den Solana-Swaps der Nutzer abzog, bevor sie von dem Cybersicherheitsunternehmen Socket identifiziert wurde. Die Erweiterung, die seit Juni 2025 im Chrome Web Store verfügbar ist, gab sich als Handelsassistent für Raydium-Nutzer aus, führte jedoch versteckte Transferbefehle neben legitimen Swap-Transaktionen aus.
Bei der Installation injizierte 'Crypto Copilot' eine zusätzliche Anweisung in jedes DEX-Swap-Paket, wodurch entweder 0,0013 SOL oder 0,05% des Swap-Betrags auf eine vom Angreifer kontrollierte Brieftasche umgeleitet wurden. Durch die Nutzung der atomaren Transaktionsausführung in Solana umging die Erweiterung Warnhinweise der Wallet-Schnittstelle, wodurch ahnungslose Nutzer sowohl beabsichtigte als auch bösartige Transfers gleichzeitig autorisierten.
Die On-Chain-Analyse ergab bisher eine geringe Anzahl von Opfern, mit kumulativ geringem Verlust. Allerdings skaliert der Exploit linear mit dem Handelsvolumen und könnte substanzielle Beträge von Händlern mit hohem Volumen abzapfen. Zum Beispiel würde ein 100 SOL-Swap 0,05 SOL umleiten, was bei den aktuellen Wechselkursen etwa 10 USD pro Transaktion entspricht.
Sicherheitsexperten stellten fest, dass die Backend-Infrastruktur der Erweiterung nicht betrieblich ausgereift war. Die primäre Domain cryptocopilot.app war bei einem generischen Hosting-Service geparkt, während der Dashboard-Endpunkt Tippfehler enthielt und leere Seiten zurückgab. Solche Versäumnisse deuten darauf hin, dass der Exploit von Amateur-Bedrohungsakteuren oder einer freiberuflichen Initiative stammt, statt von einer anspruchsvollen staatlich ausgerichteten Kampagne.
Verfahren des Chrome Web Store ermöglichten es der Erweiterung, trotz automatisierter Prüfmechanismen aktiv zu bleiben. Socket hat eine formale Takedown-Anordnung beantragt, doch zum Zeitpunkt der Berichterstattung war die Entfernung ausstehend. Nutzern wird geraten, installierte Erweiterungen zu überprüfen, Signierprivilegien zu widerrufen und Gelder auf neue Brieftaschen zu migrieren, falls sie das kompromittierte Tool genutzt haben.
Kryptobörsen-Plattformen und Wallet-Anbieter wurden aufgefordert, Erweiterungs-Whitelist-Kontrollen, Multi-Signature-Genehmigungs-Workflows und Echtzeit-Transaktionsdekodierung zu implementieren, um angehängte Anweisungen zu erkennen. Branchenbeteiligte prüfen verbesserte Heuristiken, um zusammengesetzte Transaktionen zu kennzeichnen, die von typischen Swap-Mustern abweichen.
Bemerkenswert unterstreicht der Vorfall die breiteren Risiken, die mit der Vergabe von Signierprivilegien an Browser-Erweiterungen verbunden sind, da Closed-Source-Code schädliche Logik verbergen kann. Community-getriebene Audits, Open-Source-Tools und dezentrale Signierungsprotokolle wurden als Abhilfestrategien vorgeschlagen, um On-Chain-Asset-Flows zu schützen.
Mit wachsenden DeFi-Aktivitäten hebt der Angriff die Notwendigkeit strenger Sicherheitsstandards auf der Ebene der Benutzeroberfläche hervor. Entwickler und Verwahrer müssen zusammenarbeiten, um Bequemlichkeitsfunktionen mit robuster Sicherheitsüberprüfung abzuwägen und sicherzustellen, dass Benutzerfreigaben genau die diskreten On-Chain-Anweisungen widerspiegeln. Ohne solche Maßnahmen könnten ähnliche Gebührenabzweigungen oder Umleitungsangriffe sich plattformübergreifend ausbreiten.
Forscher überwachen weiterhin die Angreifer-Brieftasche auf weitere Transaktionen und arbeiten mit Strafverfolgungsbehörden zusammen, um gestohlene Mittel zu verfolgen. Die Solana-Community, Börsenbetreiber und Cybersicherheitsfirmen arbeiten gemeinsam daran, Bedrohungsinformationen auszutauschen und bewährte Praktiken für sichere Browser-Interaktionen in dezentralen Handelsumgebungen zu stärken.
Kommentare (0)