Een heimelijke browserextensie met de naam 'Crypto Copilot' werd maandenlang aangetroffen die transactiekosten aftapte van gebruikers' Solana-swaps voordat deze door het cybersecuritybedrijf Socket werd geïdentificeerd. De extensie, beschikbaar in de Chrome Web Store sinds juni 2025, deed zich voor als een handelsassistent voor Raydium-gebruikers, maar voerde verborgen overdrachtsinstructies uit naast legitieme swap-transacties.
Bij installatie injecteerde 'Crypto Copilot' een extra instructie in elk DEX-swappakket, waardoor ofwel 0,0013 SOL of 0,05% van het swap-bedrag naar een door de aanvaller beheerde portemonnee werd omgeleid. Door gebruik te maken van atomaire uitvoering van transacties in Solana omzeilde de extensie waarschuwingen in de wallet-interface, waardoor onschuldige gebruikers gelijktijdig zowel de beoogde als de kwaadaardige overdrachten autoriseerden.
On-chain-analyse onthulde tot nu toe een klein aantal slachtoffers, met beperkte totale verliezen. De kwetsbaarheid schaalt echter lineair met het handelsvolume, waardoor substantiële bedragen kunnen worden afgetapt van handelaren met een hoog volume. Bijvoorbeeld, een swap van 100 SOL zou per transactie 0,05 SOL omleiden, wat bij de huidige wisselkoersen ongeveer $10 waard is.
Veiligheidsexperts merkten op dat de backend-infrastructuur van de extensie niet rijp was. Het primaire domein, cryptocopilot.app, stond geparkeerd op een generieke hostingdienst, terwijl het dashboard-eindpunt typografische fouten bevatte en lege pagina's teruggaf. Dergelijke slordigheden duiden erop dat de exploit afkomstig was van amateurbedreigers of freelance-inspanningen, in plaats van een verfijnde campagne die door een staat werd aangestuurd.
Chrome Web Store-procedures maakten het mogelijk dat de extensie actief bleef ondanks geautomatiseerde beoordelingsmechanismen. Socket diende een formeel verzoek tot verwijdering in, maar ten tijde van dit rapport was verwijdering nog in behandeling. Gebruikers worden geadviseerd geïnstalleerde extensies te controleren, ondertekeningsrechten in te trekken en fondsen naar nieuwe wallets te migreren als zij met het aangetaste hulpmiddel hebben gewerkt.
Cryptobeurzen en portemonnee-aanbieders zijn aangespoord om extensie-whitelistingcontroles, multi-signature-goedkeuringsworkflows en real-time transactiedecodering te implementeren om toegevoegde instructies te detecteren. Industriebelanghebbenden evalueren verbeterde heuristieken om samengestelde transacties te signaleren die afwijken van de typische swap-patronen.
Opvallend is dat dit incident wijst op bredere risico's die inherent zijn aan het verlenen van ondertekeningsrechten aan browserextensies, aangezien gesloten broncode kwaadaardige logica kan verbergen. Gemeenschapsgerichte audits, open-source tooling en gedecentraliseerde ondertekeningsprotocollen zijn voorgesteld als mitigatiestrategieën om on-chain activa te beschermen.
Terwijl DeFi-activiteit toeneemt, benadrukt de aanval de noodzaak van strikte beveiligingsnormen op de gebruikersinterfacelaag. Ontwikkelaars en custodians moeten samenwerken om gemakfuncties in balans te brengen met robuuste veiligheidscontroles, zodat gebruikersgoedkeuringen nauwkeurig reflecteren wat de afzonderlijke on-chain-instructies zijn. Zonder dergelijke maatregelen kunnen soortgelijke kostenafname- of fondsenomleidings-exploits zich over platforms verspreiden.
Onderzoekers blijven de aanvaller-portemonnee monitoren voor verdere transacties en coördineren met wetshandhavingsinstanties om gestolen fondsen te traceren. De Solana-gemeenschap, beursoperators en cybersecurity-bedrijven werken samen om dreigingsinformatie te delen en beste praktijken voor veilige browserinteracties in gedecentraliseerde handelsomgevingen te versterken.
Reacties (0)