Uma extensão de navegador furtiva, rotulada como ‘Crypto Copilot’, foi descoberta desviando taxas de transação das trocas dos usuários na Solana por meses antes de ser identificada pela empresa de segurança cibernética Socket. A extensão, disponível na Chrome Web Store desde junho de 2025, posava como uma assistente de negociação para usuários da Raydium, mas executava instruções de transferência ocultas juntamente com transações de swap legítimas.
Ao ser instalada, ‘Crypto Copilot’ injeta uma instrução adicional em cada pacote de swap de DEX, desviando 0,0013 SOL ou 0,05% do valor da troca para uma carteira controlada pelo atacante. Ao aproveitar a execução atômica de transações no Solana, a extensão contornou avisos da interface da carteira, levando usuários desavisados a autorizarem simultaneamente transferências pretendidas e maliciosas.
A análise on-chain revelou um pequeno número de vítimas até o momento, com perdas acumuladas mínimas. No entanto, a exploração aumenta linearmente com o volume de negociações, podendo desviar quantias substanciais de traders de alto volume. Por exemplo, uma troca de 100 SOL desviaria 0,05 SOL, equivalente a aproximadamente US$ 10 nas taxas de câmbio vigentes, por transação.
Especialistas em segurança observaram que a infraestrutura de backend da extensão não possuía maturidade operacional. O domínio principal, cryptocopilot.app, estava hospedado em um serviço genérico de hospedagem, enquanto o endpoint do painel continha erros tipográficos, retornando páginas em branco. Tais falhas sugerem que a exploração tenha se originado de atores de ameaça amadores ou de um esforço freelance, em vez de uma campanha sofisticada alinhada a um estado.
Os procedimentos da Chrome Web Store permitiram que a extensão permanecesse ativa, apesar dos mecanismos de revisão automatizados. A Socket apresentou um pedido formal de remoção, mas, no momento do relato, a remoção estava pendente. Usuários são aconselhados a auditar as extensões instaladas, revogar privilégios de assinatura e migrar fundos para novas carteiras caso tenham utilizado a ferramenta comprometida.
Plataformas de câmbio de criptomoedas e provedores de carteiras foram instados a implementar controles de whitelist para extensões, fluxos de aprovação com múltiplas assinaturas e decodificação de transações em tempo real para detectar instruções adicionadas. Os interessados do setor estão avaliando heurísticas aprimoradas para sinalizar transações compostas que se desviem dos padrões usuais de swap.
Notavelmente, o incidente ressalta riscos mais amplos inerentes a conceder privilégios de assinatura a extensões de navegador, já que código de fonte fechada pode ocultar lógica maliciosa. Auditorias conduzidas pela comunidade, ferramentas de código aberto e protocolos de assinatura descentralizados foram propostos como estratégias de mitigação para proteger os fluxos de ativos na cadeia.
À medida que a atividade DeFi cresce, o ataque ressalta a necessidade de padrões de segurança rigorosos na camada da interface do usuário. Desenvolvedores e custodians devem colaborar para equilibrar recursos de conveniência com verificações de segurança robustas, garantindo que as aprovações dos usuários reflitam com precisão as instruções on-chain discretas. Sem tais medidas, ataques semelhantes de desvio de taxas ou redirecionamento de fundos podem proliferar entre plataformas.
Pesquisadores continuam monitorando a carteira do atacante para novas transações e coordenando-se com agências de aplicação da lei para rastrear os fundos roubados. A comunidade Solana, operadores de exchange e empresas de cibersegurança estão trabalhando juntos para compartilhar inteligência sobre ameaças e reforçar as melhores práticas para interações seguras de navegador em ambientes de negociação descentralizados.
Comentários (0)