一個名為「Crypto Copilot」的隱蔽型瀏覽器擴充功能,在被網絡安全公司 Socket 發現之前,已悄悄竊取用戶在 Solana 交換中的交易費用數月。該擴充功能自 2025 年 6 月起於 Chrome Web Store 上架,假扮成 Raydium 用戶的交易助手,但卻在合法的交換交易同時執行隱藏的轉移指令。
安裝後,「Crypto Copilot」在每個去中心化交易所(DEX)的交換捆綁中注入額外指令,將 0.0013 SOL 或交換金額的 0.05% 轉入攻擊者控制的錢包。透過在 Solana 上利用原子性交易執行,該擴充功能繞過錢包介面警告,致使不知情的用戶同時授權正當轉移與惡意轉移。
鏈上分析顯示迄今為止受害者數量不多,累計損失也很有限。然而,該漏洞會隨交易量呈線性增長,可能從高交易量的交易者手中抽走相當可觀的金額。舉例而言,若進行 100 SOL 的交換,每筆交易都會把 0.05 SOL 轉入攻擊者控制的錢包,按當前匯率約值 10 美元左右。
安全專家指出,該擴充功能的後端基礎設施尚未具備成熟的運營能力。主要域名 cryptocopilot.app 被放在通用的主機服務上,儀表板端點存在打字錯誤,回應為空白頁。此類疏忽顯示此次利用手法可能源自業餘威脅行為者或自由職業者的勞作,而非高度國家級行動。
Chrome Web Store 的審核流程允許該擴充功能在自動審查機制下仍然保持上線。Socket 已提交正式的下架請求,但在報導時仍在待處理。若曾使用過該受影響的工具,請檢查已安裝的擴充功能,撤銷簽名權限,並將資金轉移至新錢包。
已敦促加密貨幣交易平台與錢包提供商實施擴充功能白名單控管、多重簽名批准工作流程,以及實時交易解碼以檢測附加的指令。業界持份者正在評估加強的啟發式方法,以標示偏離典型交換模式的複合交易。
值得注意的是,事件凸顯了授予瀏覽器擴充功能簽名權限所固有的更廣泛風險,因為閉源程式碼可能隱藏惡意邏輯。以社群為主導的審計、開源工具以及去中心化簽名協議被提出作為保護鏈上資產流向的緩解策略。
隨著去中心化金融(DeFi)活動增長,此次攻擊凸顯在用戶介面層面實施嚴格安全標準的必要性。開發者與托管方必須協同合作,平衡便利性與健全的安全檢查,確保用戶的授權能準確反映獨立的鏈上指令。若缺乏這些措施,類似的手續費竊取或資金重新導向漏洞可能在各平台蔓延。
研究人員將繼續監控該攻擊者的錢包以尋找後續交易,並與執法機構合作追蹤被盜資金。Solana 社群、交易所營運商與網路安全公司正共同協作,分享威脅情報並強化去中心化交易環境中安全瀏覽互動的最佳實踐。
評論 (0)