Ekstensi peramban yang beroperasi secara diam-diam bernama 'Crypto Copilot' ditemukan menarik biaya transaksi dari swap Solana milik pengguna selama berbulan-bulan sebelum diidentifikasi oleh perusahaan keamanan siber Socket. Ekstensi tersebut, yang tersedia di Chrome Web Store sejak Juni 2025, menyamar sebagai asisten perdagangan bagi pengguna Raydium tetapi mengeksekusi instruksi transfer tersembunyi bersamaan dengan transaksi swap yang sah.
Setelah instalasi, 'Crypto Copilot' menyuntikkan instruksi tambahan ke dalam setiap paket swap DEX, mengalihkan 0.0013 SOL atau 0.05% dari jumlah swap ke dompet yang dikendalikan penyerang. Dengan memanfaatkan eksekusi transaksi atomik di Solana, ekstensi ini mengakali peringatan antarmuka dompet, menyebabkan pengguna yang tidak curiga menyetujui transfer yang dimaksudkan maupun yang berbahaya secara bersamaan.
Analisis on-chain menunjukkan jumlah korban yang relatif kecil sejauh ini, dengan kerugian kumulatif yang minimal. Namun, eksploit ini berkembang secara linier seiring volume perdagangan, berpotensi mencuri sejumlah besar dari trader dengan volume tinggi. Misalnya, swap 100 SOL akan mengalihkan 0.05 SOL, setara sekitar $10 pada kurs tukar yang berlaku, per transaksi.
Para ahli keamanan mencatat bahwa infrastruktur backend ekstensi tersebut tidak matang secara operasional. Domain utama, cryptocopilot.app, terparkir di layanan hosting umum, sementara endpoint dashboard mengandung kesalahan pengetikan, menghasilkan halaman kosong. Kesalahan-kesalahan tersebut menunjukkan eksploit ini berasal dari aktor ancaman amatir atau upaya lepas kendali (freelance) daripada kampanye berkelas negara yang canggih.
Prosedur Chrome Web Store memungkinkan ekstensi tetap hidup meskipun ada mekanisme tinjauan otomatis. Socket mengajukan permintaan pencabutan resmi, tetapi pada saat pelaporan, penghapusan masih tertunda. Pengguna disarankan untuk memeriksa ekstensi yang terpasang, mencabut hak penandatanganan, dan memigrasikan dana ke dompet baru jika mereka telah terlibat dengan alat yang terkompromi.
Para bursa kripto dan penyedia dompet didorong untuk menerapkan kontrol whitelisting ekstensi, alur persetujuan tanda tangan ganda (multisignature), dan pemindaian/decoded transaksi secara real-time untuk mendeteksi instruksi yang disematkan. Para pemangku kepentingan industri sedang mengevaluasi heuristik yang lebih canggih untuk menandai transaksi komposit yang menyimpang dari pola swap yang umum.
Yang perlu dicatat, insiden ini menyoroti risiko yang lebih luas dalam memberikan hak penandatanganan pada ekstensi peramban, karena kode sumber tertutup dapat menyembunyikan logika bahaya. Audit yang dipandu komunitas, alat sumber terbuka, dan protokol penandatanganan terdesentralisasi telah diajukan sebagai strategi mitigasi untuk melindungi aliran aset di rantai blockchain.
Seiring meningkatnya aktivitas DeFi, serangan ini menyoroti perlunya standar keamanan yang ketat pada lapisan antarmuka pengguna. Pengembang dan penjaga aset harus bekerja sama untuk menyeimbangkan fitur kenyamanan dengan pemeriksaan keamanan yang kuat, memastikan persetujuan pengguna mencerminkan instruksi di rantai blockchain yang terpisah. Tanpa langkah-langkah tersebut, penyedotan biaya serupa atau penyimpangan dana dapat menyebar ke berbagai platform.
Para peneliti terus memantau dompet pelaku serangan untuk transaksi selanjutnya dan berkoordinasi dengan lembaga penegak hukum untuk melacak dana yang dicuri. Komunitas Solana, operator bursa, dan perusahaan keamanan siber bekerja sama untuk berbagi intelijen ancaman dan memperkuat praktik terbaik untuk interaksi peramban yang aman dalam lingkungan perdagangan terdesentralisasi.
Komentar (0)