Стелс-браузерное расширение под названием «Crypto Copilot» было обнаружено тем, что оно похищало комиссии за транзакции пользователей при обменах в сети Solana на протяжении нескольких месяцев, прежде чем его идентифицировала компания Socket, занимающаяся кибербезопасностью.
Расширение, доступное в Chrome Web Store с июня 2025 года, выдавалось за помощника по торговле для пользователей Raydium, но выполняло скрытые инструкции по переводу вместе с законными транзакциями обмена.
При установке «Crypto Copilot» внедрял дополнительную инструкцию в каждый пакет обменов на DEX, перенаправляв либо 0,0013 SOL, либо 0,05% от суммы обмена в кошелёк, контролируемый атакующим. Используя атомарное выполнение транзакций в Solana, расширение обходило предупреждения интерфейса кошелька, заставляя доверчивых пользователей одобрять как запланированные, так и вредоносные переводы одновременно.
Анализ в блокчейне показал, что пострадавших пока немного, с минимальными совокупными потерями. Однако уязвимость масштабируется линейно с объемом торгов, потенциально похищая значительные суммы у трейдеров с высоким оборотом. Например, обмен на 100 SOL перенаправлял бы 0,05 SOL, что примерно эквивалентно 10 долларам по текущему курсу, за каждую транзакцию.
Эксперты по безопасности отметили, что бэкенд-инфраструктура расширения не обладает полной операционной зрелостью. Основной домен cryptocopilot.app размещался на обычном хостинг-провайдере, в то время как конечная точка панели управления содержала орфографические ошибки и возвращала пустые страницы. Эти упущения позволяют предположить, что за эксплойтом стоят любители или фрилансеры, а не сложная кампания, поддерживаемая государством.
Процедуры Chrome Web Store позволяли расширению оставаться активным, несмотря на автоматизированные механизмы проверки. Socket подал официальный запрос на удаление, но на момент публикации удаление находилось в стадии рассмотрения. Пользователям рекомендуется проверить установленные расширения, отозвать права подписи и перенести средства на новые кошельки, если они взаимодействовали с компрометированным инструментом.
Криптовалютные биржи и поставщики кошельков призваны внедрить контроль белыми списками для расширений, процессы мультиподписи и расшифровку транзакций в реальном времени для выявления добавленных инструкций. Стейкхолдеры отрасли оценивают усиленные эвристики для выявления составных транзакций, отклоняющихся от типичных паттернов обмена.
Особенно примечательно то, что инцидент подчеркивает более широкие риски, связанные с предоставлением браузерным расширениям прав на подписание, поскольку проприетарный код может скрывать вредоносную логику. Предлагаются аудиты, инструменты с открытым исходным кодом и децентрализованные протоколы подписания как меры по защите потоков активов в блокчейне.
По мере роста активности в DeFi инцидент подчеркивает необходимость строгих стандартов безопасности на уровне пользовательского интерфейса. Разработчики и держатели активов должны сотрудничать, чтобы сбалансировать удобство использования с надежными мерами безопасности, обеспечивая, чтобы одобрения пользователей точно отражали отдельные инструкции на цепочке. Без таких мер подобные похищения сборов или перенаправления средств могут распространяться на платформах.
Исследователи продолжают следить за кошельком атакующего в поиске дальнейших транзакций и координируют действия с правоохранительными органами для отслеживания украденных средств. Сообщество Solana, операторы бирж и фирмы по кибербезопасности работают вместе, чтобы обмениваться информацией об угрозах и усиливать лучшие практики безопасного взаимодействия через браузер в децентрализованных торговых средах.
Комментарии (0)