Một tiện ích mở rộng trình duyệt bí mật có nhãn ‘Crypto Copilot’ đã bị phát hiện rút phí giao dịch từ các lần hoán đổi Solana của người dùng trong nhiều tháng trước khi được công ty an ninh mạng Socket xác định.
Tiện ích mở rộng này, có sẵn trên Chrome Web Store kể từ tháng 6 năm 2025, giả danh như một trợ lý giao dịch cho người dùng Raydium nhưng đã thực thi các chỉ thị chuyển tiền ẩn cùng với các giao dịch hoán đổi hợp lệ.
Ngay khi cài đặt, ‘Crypto Copilot’ đã tiêm một chỉ thị bổ sung vào mỗi gói hoán đổi DEX, chuyển hướng 0,0013 SOL hoặc 0,05% số tiền hoán đổi tới một ví do kẻ tấn công kiểm soát. Tận dụng việc thực thi giao dịch nguyên tử trên Solana, tiện ích mở rộng đã vượt qua các cảnh báo giao diện ví, khiến người dùng vô tình xác nhận cả các giao dịch hợp lệ lẫn các giao dịch độc hại đồng thời.
Phân tích trên chuỗi cho thấy cho tới nay có một số lượng nạn nhân nhỏ, thiệt hại tích lũy ở mức tối thiểu. Tuy nhiên, lỗ hổng này tăng tuyến tính theo khối lượng giao dịch, có thể rút đi một lượng đáng kể từ những người giao dịch có khối lượng lớn. Ví dụ, một hoán đổi 100 SOL sẽ chuyển hướng 0,05 SOL, tương đương khoảng 10 USD ở tỷ giá hiện tại, cho mỗi giao dịch.
Các chuyên gia an ninh cho biết hạ tầng backend của tiện ích mở rộng thiếu sự trưởng thành vận hành. Tên miền chính, cryptocopilot.app, được để trên một dịch vụ lưu trữ chung, trong khi điểm cuối bảng điều khiển chứa lỗi đánh máy, trả về các trang trống. Những sơ suất như vậy cho thấy khai thác này bắt nguồn từ các tác nhân đe dọa nghiệp dư hoặc một dự án tự làm tự do chứ không phải một chiến dịch tinh vi liên kết với một nhà nước.
Các quy trình của Chrome Web Store cho phép tiện ích mở rộng duy trì hoạt động bất chấp các cơ chế rà soát tự động. Socket đã đệ đơn yêu cầu gỡ bỏ chính thức, nhưng tại thời điểm báo cáo, việc gỡ bỏ đang chờ xử lý. Người dùng được khuyên rà soát các tiện ích đã cài đặt, thu hồi quyền ký và chuyển tiền sang ví mới nếu họ đã tương tác với công cụ bị xâm phạm.
Các nền tảng trao đổi tiền điện tử và nhà cung cấp ví đã được kêu gọi triển khai kiểm soát danh sách trắng tiện ích mở rộng, quy trình phê duyệt đa chữ ký và giải mã giao dịch thời gian thực để phát hiện các chỉ thị được ghép thêm. Các bên liên quan trong ngành đang đánh giá các heuristic nâng cao để cảnh báo các giao dịch ghép lệch với các mẫu hoán đổi thông thường.
Đáng chú ý là sự cố cho thấy rủi ro rộng hơn vốn có khi cấp quyền ký cho tiện ích trình duyệt, vì mã nguồn đóng có thể che giấu logic độc hại. Các cuộc rà soát do cộng đồng dẫn đầu, công cụ nguồn mở và các giao thức ký phi tập trung đã được đề xuất như các chiến lược giảm thiểu để bảo vệ luồng tài sản trên chuỗi.
Khi hoạt động DeFi phát triển, vụ tấn công làm nổi bật sự cần thiết của các tiêu chuẩn bảo mật nghiêm ngặt ở lớp giao diện người dùng. Các nhà phát triển và người quản lý giữ tiền phải phối hợp để cân bằng các tính năng tiện lợi với các kiểm tra an toàn mạnh mẽ, đảm bảo rằng phê duyệt của người dùng phản ánh đúng các chỉ thị riêng lẻ trên chuỗi. Nếu thiếu các biện pháp này, các vụ rút phí hoặc chuyển hướng tiền tương tự có thể bùng phát trên các nền tảng.
Các nhà nghiên cứu tiếp tục theo dõi ví của kẻ tấn công để phát hiện các giao dịch trong tương lai và phối hợp với các cơ quan thực thi pháp luật để truy vết số tiền bị đánh cắp. Cộng đồng Solana, các nhà vận hành trao đổi và các công ty an ninh mạng đang hợp tác để chia sẻ thông tin tình báo mối đe dọa và củng cố các thực tiễn tốt nhất cho các tương tác trình duyệt an toàn trong môi trường giao dịch phi tập trung.
Bình luận (0)