O extensie de browser discretă, denumită „Crypto Copilot”, a fost descoperită că sifona comisioanele de tranzacție din swap-urile Solana ale utilizatorilor timp de luni de zile înainte de a fi identificată de firma de securitate cibernetică Socket. Extensia, disponibilă în Chrome Web Store din iunie 2025, se prezenta ca un asistent de tranzacționare pentru utilizatorii Raydium, dar executa instrucțiuni de transfer ascunse alături de tranzacțiile legitime de swap.
La instalare, „Crypto Copilot” a injectat o instrucțiune suplimentară în fiecare pachet de swap DEX, redirecționând fie 0,0013 SOL, fie 0,05% din suma swap-ului către un portofel controlat de atacator. Profitând de execuția atomică a tranzacțiilor în Solana, extensia a ocolit avertismentele interfeței portofelului, determinând utilizatorii neavizați să autorizeze simultan atât transferurile intenționate, cât și pe cele malițioase.
Analiza on-chain a relevat până acum un număr mic de victime, cu o pierdere cumulativă minimă. Cu toate acestea, exploatarea poate crește în funcție de volumul tranzacțiilor, putând sifona cantități semnificative de la comercianții cu volum mare. De exemplu, un swap de 100 SOL ar redirecționa 0,05 SOL, echivalent cu aproximativ 10 USD la ratele de schimb în vigoare, per tranzacție.
Experții în securitate au remarcat că infrastructura backend a extensiei lipsea de maturitate operațională. Domeniul principal, cryptocopilot.app, era parcat pe un serviciu de găzduire generic, în timp ce endpoint-ul de dashboard conținea erori de tipografie, returnând pagini albe. Astfel de neglijențe sugerează că exploatarea a provenit de la actori de amenințare amatori sau de la un efort freelance, mai degrabă decât de la o campanie sofisticată, aliniată unui stat.
Procedurile Chrome Web Store au permis ca extensia să rămână în viață, în ciuda mecanismelor automate de revizuire. Socket a depus o cerere formală de eliminare, însă la momentul raportării, eliminarea era în așteptare. Utilizatorii sunt sfătuiți să auditeze extensiile instalate, să retragă privilegiile de semnare și să migreze fonduri către portofele noi dacă au interacționat cu instrumentul compromis.
Platformele de exchange de criptomonede și furnizorii de portofele au fost solicitați să implementeze controale de listare albă a extensiilor, fluxuri de aprobare cu semnătură multiplă și decriptarea tranzacțiilor în timp real pentru a detecta instrucțiuni adăugate. Părțile interesate din industrie evaluează reguli heuristice îmbunătățite pentru a semnala tranzacțiile compuse care se abat de la tiparele comune de swap.
În mod notabil, incidentul subliniază riscurile mai largi inerente acordării privilegiilor de semnare extensiilor de browser, deoarece codul închis poate ascunde logică malițioasă. Auditurile conduse de comunitate, instrumentele open-source și protocoalele de semnare descentralizate au fost propuse ca strategii de atenuare pentru a proteja fluxurile de active pe blockchain.
Pe măsură ce activitatea DeFi crește, atacul evidențiază necesitatea unor standarde stricte de securitate la nivelul interfeței cu utilizatorul. Dezvoltatorii și custodianții trebuie să colaboreze pentru a echilibra funcțiile de confort cu verificări de securitate robuste, asigurându-se că aprobările utilizatorului reflectă cu acuratețe instrucțiunile distincte on-chain. Fără astfel de măsuri, exploatările similare de sifonare a comisioanelor sau redirecționări de fonduri s-ar putea răspândi pe platforme.
Cercetătorii continuă să monitorizeze portofelul atacatorului pentru alte tranzacții și să coopereze cu agențiile de aplicare a legii pentru a urmări fondurile furate. Comunitatea Solana, operatorii de exchange și firmele de securitate cibernetică lucrează împreună pentru a împărtăși informații despre amenințări și a consolida cele mai bune practici pentru interacțiuni securizate în browsere în medii de tranzacționare descentralizate.
Comentarii (0)