Una extensión de navegador sigilosa, etiquetada como 'Crypto Copilot', fue descubierta desviando comisiones de transacción de los intercambios de Solana de los usuarios durante meses antes de ser identificada por la firma de ciberseguridad Socket. La extensión, disponible en Chrome Web Store desde junio de 2025, se hacía pasar por un asistente de trading para usuarios de Raydium, pero ejecutaba instrucciones de transferencia ocultas junto con transacciones de intercambio legítimas.
Al instalarse, 'Crypto Copilot' inyectó una instrucción adicional en cada paquete de intercambio DEX, desviando 0.0013 SOL o el 0.05% del monto del intercambio hacia una billetera controlada por un atacante. Al aprovechar la ejecución atómica de transacciones en Solana, la extensión eludió las advertencias de la interfaz de la billetera, haciendo que usuarios desprevenidos autorizasen simultáneamente transferencias tanto previstas como maliciosas.
El análisis en la cadena reveló un número reducido de víctimas hasta ahora, con pérdidas acumuladas mínimas. Sin embargo, la explotación escala linealmente con el volumen de operaciones, lo que podría desviar cantidades sustanciales de traders de alto volumen. Por ejemplo, una operación de intercambio de 100 SOL reorientaría 0.05 SOL, equivalente a aproximadamente $10 en las tasas de cambio vigentes, por transacción.
Los expertos en seguridad señalaron que la infraestructura de backend de la extensión carecía de madurez operativa. El dominio principal, cryptocopilot.app, estaba registrado en un servicio de hosting genérico, mientras que el punto final del panel de control contenía errores tipográficos y devolvía páginas en blanco. Tales descuidos sugieren que la explotación provino de actores de amenazas aficionados o de un esfuerzo freelance, en lugar de una campaña sofisticada alineada con un estado.
Los procedimientos de la Chrome Web Store permitieron que la extensión permaneciera activa a pesar de los mecanismos de revisión automatizados. Socket presentó una solicitud formal de retirada, pero en el momento de la información, la eliminación estaba pendiente. Se recomienda a los usuarios auditar las extensiones instaladas, revocar permisos de firma y migrar los fondos a nuevas billeteras si interactuaron con la herramienta comprometida.
Se ha instado a las plataformas de intercambio de cripto y a los proveedores de billeteras a implementar controles de lista blanca de extensiones, flujos de aprobación multi-firma y decodificación de transacciones en tiempo real para detectar instrucciones añadidas. Las partes interesadas de la industria están evaluando heurísticas mejoradas para identificar transacciones compuestas que se desvíen de los patrones típicos de intercambio.
Cabe destacar que el incidente subraya riesgos más amplios inherentes a otorgar privilegios de firma a extensiones del navegador, ya que el código cerrado puede ocultar lógica maliciosa. Auditorías impulsadas por la comunidad, herramientas de código abierto y protocolos de firma descentralizados se han propuesto como estrategias de mitigación para proteger los flujos de activos en la cadena.
A medida que la actividad DeFi crece, el ataque resalta la necesidad de estándares de seguridad rigurosos en la capa de interfaz de usuario. Los desarrolladores y custodios deben colaborar para equilibrar las funciones de conveniencia con controles de seguridad robustos, asegurando que las aprobaciones de los usuarios reflejen con precisión instrucciones discretas en la cadena. Sin medidas de este tipo, explotaciones similares de desvío de comisiones o redirección de fondos podrían proliferar entre plataformas.
Los investigadores continúan monitorizando la billetera del atacante para detectar nuevas transacciones y coordinarse con las agencias de aplicación de la ley para rastrear los fondos robados. La comunidad de Solana, los operadores de exchanges y las firmas de ciberseguridad están trabajando juntos para compartir inteligencia sobre amenazas y reforzar las mejores prácticas para interacciones seguras en el navegador en entornos de trading descentralizado.
Comentarios (0)