‘Crypto Copilot’ nimega varjuline brauserilaiend avastati, kuna see varastas kasutajate Solana vahetuste tehingutasusid kuu aega enne, kui selle avastas küberturbeettevõte Socket.
See laiend, mis on Chrome Web Store'is olnud alates 2025. aasta juunist, esines Raydiumi kasutajate kauplemisabina, kuid täitis varjatud ülekandejuhiseid koos seaduslike vahetustehingutega.
Paigaldamisel süstis ‘Crypto Copilot’ igasse DEX-vahetuskomplekti täiendava käsu, suunates kas 0.0013 SOL või 0.05% vahetuse summast ründaja kontrolli all olevale rahakotile. Kasutades Solana atomilise tehingute täitmise mehhanismi, möödus laiendus rahakoti kasutajaliidese hoiatustest, sundides kahtlustamatuid kasutajaid heaks kiitma nii kavandatud kui pahatahtlikud ülekanded samaaegselt.
On‑chain analüüs näitas seni vähese arvu ohvreid ning kogukaotus on minimaalne. Kuid kuritegevuse mahud kasvavad lineaarse kauplemiste mahu suurenemisega, mis võib röövida märkimisväärseid summasid suurmahuliste kauplejate käest. Näiteks 100 SOL vahetuse korral suunataks 0.05 SOLi, mis praeguste vahetuskursside järgi on iga tehingu kohta umbes 10 dollarit.
Turvaeksperdid märkisid, et laienduse taga olev infrastruktuur ei olnud toimival küpsel tasemel. Põhidomeen, cryptocopilot.app, oli parkitud üldisel majutusteenusel, samal ajal juhtpaneeli lõpp-punkt sisaldas trükivigu ning tagastas tühjad lehed. Sellised hooletud vead viitavad sellele, et eksploiteerimine pärines amatöörründajatelt või vabakutselise tööst, mitte rafineeritud riigi tasemega kampaaniast.
Chrome Web Store'i protseduurid lubasid laiendusel elus püsida vaatamata automatiseeritud ülevaatusmehhanismidele. Socket esitas ametliku eemaldamissoovi, kuid aruande ajal eemaldamine oli ootel. Kasutajad peaksid läbi viima audit installitud laiendustest, tühistama allkirjastamise õigused ja viima vahendid uutele rahakottidele, kui nad kasutasid haavatud tööriista.
Krüptovahetusplatvormid ja rahakoti pakkujad on kutsutud rakendama laienduste heakskiitmise nimekirja (whitelisting), mitme allkirjaga kinnituste töövooge ja tehingute reaalajas dekodeerimist, et avastada lisatud käske. Tööstuse huvirühmad hindavad täiustatud heuristikat, et märgistada koos tehingud, mis erinevad tavapärastest vahetusmustritest.
Eriti rõhutab see juhtum laiemat riski, mis kaasneb brauserilaienduste allkirjastamisõiguste andmisega, kuna suletud lähtekood võib varjata pahatahtlikku loogikat. Kogukondlikud auditid, avatud lähtekoodiga tööriistad ja detsentraliseeritud allkirjastamisprotokollid on pakutud kui riskide maandamise strateegiad, et kaitsta on‑chain varade voogu.
DeFi tegevuse kasvamisel rõhutab rünnak vajadust rangete turvanõuete järele kasutajaliidese kihis. Arendajad ja hooldajad peavad koostööd tehes tasakaalustama mugavusfunktsioonid tugeva turvakontrolliga ning tagama, et kasutaja kinnitused peegeldaksid täpselt eraldi on‑chain juhiseid. Ilma selliste meetmeteta võivad sarnased ülekandete või vahendite suunamise ekspluatsioonid levida platvormide vahel.
Uurijad jätkavad ründaja rahakoti jälgimist täiendavate tehingute jaoks ja teevad koostööd õiguskaitseasutustega varastatud vahendite jälgimiseks. Solana kogukond, vahetusoperaatorid ja küberturbeettevõtted teevad koostööd, et jagada ohuteavet ja tugevdada parimaid tavasid turvaliste brauseri interaktsioonide jaoks detsentraliseeritud kauplemiskeskkondades.
Kommentaarid (0)