Ett smygande webblÀsartillÀgg mÀrkt 'Crypto Copilot' upptÀcktes som sifonerade anvÀndarnas transaktionsavgifter frÄn deras Solana-byten under flera mÄnader innan det identifierades av cybersÀkerhetsföretaget Socket.
TillÀgget, som funnits i Chrome Web Store sedan juni 2025, utgav sig för att vara en handelsassistent för Raydium-anvÀndare men utförde dolda överföringsinstruktioner tillsammans med legitima swap-transaktioner.
Vid installationen injicerade 'Crypto Copilot' en extra instruktion i varje DEX-swap-paket, och dirigerade antingen 0,0013 SOL eller 0,05 % av swapbeloppet till en plÄnbok som kontrolleras av en angripare. Genom att utnyttja atomiska transaktioner i Solana kunde tillÀgget kringgÄ varningar i plÄnbokens grÀnssnitt, vilket fick oförsiktiga anvÀndare att samtidigt godkÀnna bÄde avsedda och skadliga överföringar.
On-chain-analys visade hittills ett litet antal offer med minimala sammanlagda förluster. Dock ökar exploatet linjÀrt med handelsvolymen, vilket potentiellt kan sifonera betydande belopp frÄn handlare med hög volym. Till exempel skulle en 100 SOL-swap omdirigera 0,05 SOL, motsvarande cirka 10 dollar vid rÄdande vÀxlingskurser, per transaktion.
Experter inom sÀkerhet pÄpekade att tillÀggets backend-infrastruktur saknade operativ mognad. HuvuddomÀnen cryptocopilot.app var parkerad hos en generisk hostingtjÀnst, medan dashboard-endpunkten innehöll typografiska fel och svarade med tomma sidor. SÄdana försummelser tyder pÄ att utnyttjandet sannolikt uppstod frÄn amatörhotaktörer eller ett frilansarbete snarare Àn av en sofistikerad kampanj i samarbete med en statlig anknytning.
Procedurerna i Chrome Web Store tillÀt tillÀgget att förbli aktivt trots automatiserade granskningsmekanismer. Socket lade in en formell begÀran om nedtagning, men vid tidpunkten för rapporteringen var borttagningen pÄgÄende. AnvÀndare uppmanas att granska installerade tillÀgg, Äterkalla signeringsbehörigheter och överföra medel till nya plÄnböcker om de har anvÀnt det komprometterade verktyget.
Kryptovalutabörser och plÄnbokleverantörer har uppmanats att implementera tillÀggsvitlistning, multi-signatur-godkÀnnande arbetsflöden och realtidsavkodning av transaktioner för att upptÀcka bifogade instruktioner. Branschaktörer utvÀrderar förbÀttrade heuristiker för att flagga sammansatta transaktioner som avviker frÄn typiska swap-mönster.
AnmÀrkningsvÀrt understryker hÀndelsen de bredare riskerna med att ge webblÀsartillÀgg signeringsbehörigheter, eftersom stÀngd kÀllkod kan dölja skadlig logik. Gemenskapsdrivna revisioner, öppen kÀllkod och decentraliserade signeringsprotokoll har föreslagits som motmedel för att skydda on-chain-tillgÄngsflöden.
NÀr DeFi-aktiviteterna ökar belyser attacken behovet av strikta sÀkerhetsstandarder pÄ anvÀndargrÀnssnittets lager. Utvecklare och förvaltare mÄste samarbeta för att balansera bekvÀmlighetsfunktioner med robusta sÀkerhetskontroller, sÄ att anvÀndargodkÀnnanden speglar tydligt Ätskilda on-chain-instruktioner. Utan sÄdana ÄtgÀrder kan liknande avgiftssifonering eller omdirigering av medel spridas över plattformar.
Forskare fortsÀtter att övervaka angriparens plÄnbok för ytterligare transaktioner och samordna med rÀttsmyndigheter för att spÄra stulna medel. Solana-gemenskapen, börsoperatörer och cybersÀkerhetsföretag samarbetar för att dela hotintelligens och stÀrka bÀsta praxis för sÀkra webblÀsarinteraktioner i decentraliserade handelsmiljöer.
Kommentarer (0)