「Crypto Copilot」とラベル付けされたステルスなブラウザ拡張機能が、サイバーセキュリティ企業Socketに特定されるまでの数か月間、ユーザーのSolanaスワップから取引手数料を吸い取っていたことが発見された。Chromeウェブストアで2025年6月から提供されているこの拡張機能は、Raydiumユーザーの取引アシスタントを装っていたが、正当なスワップ取引と同時に隠し転送指示を実行していた。
インストール時、「Crypto Copilot」は各DEXのスワップバンドルに追加の指示を注入し、攻撃者が管理するウォレットへ0.0013 SOLまたはスワップ額の0.05%を転送するよう導いた。Solanaのアトミック取引実行を利用することで、拡張機能はウォレットのインターフェイス警告を回避し、ユーザーが意図した転送と悪意のある転送を同時に承認してしまう事態を引き起こした。
オンチェーン分析では、現時点で被害者は少数にとどまり、累積損失も最小限であることが判明した。しかし、この悪用は取引量とともに線形に拡大するため、高取引量のトレーダーから実質的な金額を吸い取る可能性がある。例えば、100 SOLのスワップでは、0.05 SOLが攻撃者のウォレットへ再転送され、現在の相場で約10ドルに相当する。
セキュリティ専門家は、拡張機能のバックエンドインフラが運用成熟度を欠くと指摘した。主要ドメイン cryptocopilot.app は汎用のホスティングサービスに仮置きされており、ダッシュボードのエンドポイントにはタイプミスが含まれ、空白ページを返していた。これらの見落としは、攻撃が巧妙な国家系のキャンペーンではなく、素人の脅威アクターやフリーランスの努力から発生した可能性を示唆している。
Chromeウェブストアの手続きにより、自動審査機構にもかかわらず拡張機能を公開状態のままにすることが許容されていた。Socketは正式な削除要請を提出したが、報告時点では削除は保留中だった。ユーザーには、インストール済みの拡張機能を監査し、署名権限を取り消し、問題のツールを使用した場合は資金を新しいウォレットへ移行するよう勧告されている。
暗号取引所プラットフォームとウォレット提供者には、拡張機能のホワイトリスト管理、マルチシグ認証ワークフロー、リアルタイムのトランザクションデコードを導入して追加指示を検知するよう求められている。業界関係者は、典型的なスワップパターンから逸脱する複合取引を識別する高度なヒューリスティクスの強化を検討している。
特に、この事件は、ブラウザ拡張機能に署名権限を付与することに伴う広範なリスクを浮き彫りにしている。閉鎖ソースのコードは悪意あるロジックを隠す可能性がある。コミュニティ主導の監査、オープンソースのツール、分散型署名プロトコルが、オンチェーン資産の流れを保護するための緩和策として提案されている。
DeFiの活動が拡大するにつれて、この攻撃はユーザーインターフェイス層における厳格なセキュリティ基準の必要性を浮き彫りにしている。開発者とカストディアンは、利便性機能と堅牢な安全検証のバランスを取るため協力し、ユーザー承認が個別のオンチェーン指示を正確に反映することを保証しなければならない。こうした対策がなければ、同様の手数料吸い取りや資金の再送付といった悪用がプラットフォーム全体に広がる可能性がある。
研究者は引き続き攻撃者のウォレットを監視し、さらなる取引を追跡するために法執行機関と連携して盗難資金の所在を追跡している。Solanaコミュニティ、取引所運営者、サイバーセキュリティ企業は、脅威情報を共有し、分散型取引環境における安全なブラウザー操作のベストプラクティスを強化するために協力している。
コメント (0)