一个被标注为“Crypto Copilot”的隐蔽浏览器扩展在被网络安全公司Socket发现之前,已窃取用户Solana交易中的交易费用数月。该扩展自2025年6月起在Chrome Web Store上架,伪装成Raydium用户的交易助手,但在合法的交换交易同时执行隐藏的转账指令。
安装后,“Crypto Copilot”在每个DEX交易包中注入额外指令,将0.0013 SOL或交易金额的0.05%导向攻击者控制的钱包。通过利用Solana的原子交易执行,该扩展绕过了钱包界面的警告,使不知情的用户在同时授权了本意与恶意转账。
链上分析显示迄今为止受害者数量不多,总损失也极少。然而,该漏洞随交易量线性增长,可能从高交易量交易者那里窃取可观金额。例如,100 SOL 的兑换每笔交易将把0.05 SOL重新导向攻击者的钱包,按当前汇率约合10美元。
安全专家指出,该扩展的后端基础设施缺乏运营成熟度。主域cryptocopilot.app被托管在通用托管服务上,仪表板端点存在拼写错误,返回空白页面。此类疏忽表明攻击源自业余威胁者或自由职业者的努力,而非高级别国家级行动。
Chrome Web Store的流程使该扩展在自动化审查机制下仍保持上线。Socket提交了正式的下架请求,但在报道时仍在处理中。建议用户审查已安装的扩展,撤销签名权限,并在使用受损工具后将资金迁移到新钱包。
加密交易平台和钱包提供商被敦促实施扩展白名单控制、多签名审批工作流以及实时交易解码以检测附加指令。行业利益相关者正在评估改进的启发式方法,以标记偏离典型交换模式的复合交易。
值得注意的是,该事件凸显了授予浏览器扩展签名权限所固有的更广泛风险,因为闭源代码可能隐藏恶意逻辑。社区驱动的审计、开源工具和去中心化签名协议等缓解策略被提出以保护链上资产流。
随着DeFi活动的增长,这一攻击凸显了在用户界面层面建立严格安全标准的必要性。开发者与托管方必须合作,在便利功能与强健安全检查之间取得平衡,确保用户授权准确反映离散的链上指令。若缺乏此类措施,类似的手续费窃取或资金重定向漏洞可能在各个平台扩散。
研究人员将继续监控攻击者的钱包以获取更多交易,并与执法机构合作追踪被盗资金。Solana 社区、交易所运营商和网络安全公司正共同努力共享威胁情报、加强去中心化交易环境中安全浏览交互的最佳实践。
评论 (0)