一个隐蔽的浏览器扩展,标记为“Crypto Copilot”,在被网络安全公司Socket发现之前,已从用户的Solana交易中窃取交易费数月。该扩展自2025年6月起在Chrome 网上应用店上架,伪装成Raydium用户的交易助手,但在合法的兑换交易中同时执行隐藏的转账指令。
安装后,“Crypto Copilot”向每个去中心化交易所(DEX)交换包中注入额外指令,将0.0013 SOL或交换金额的0.05%导向攻击者控制的钱包。通过利用Solana的原子交易执行,该扩展绕过钱包界面警告,使不知情的用户能够同时授权预期和恶意的转账。
链上分析显示目前受害者人数不多,累计损失也很少。然而,该漏洞随交易量线性扩展,可能从高交易量的交易者中窃取大量资金。例如,一笔100 SOL 的交换将把0.05 SOL 转移至攻击者控制的钱包,在现行的汇率下大约等于10美元。
安全专家指出,该扩展的后台基础设施尚未具备成熟的运维能力。主域名 cryptocopilot.app 被放在通用主机服务商上,而仪表板端点存在打字错误,返回空白页面。此类疏漏表明该利用活动可能来自业余威胁行为者或自由职业者的努力,而非一个复杂的国家级行动。
Chrome 网上应用店的流程允许该扩展在自动化审核机制下仍然上线。Socket 提交了正式的下架请求,但在报道时仍在等待处理。建议用户审查已安装的扩展,撤销签名权限,并在使用过被破坏工具后将资金迁移到新的钱包。
业内呼吁加密交易平台和钱包提供商实行扩展白名单控制、多签名批准工作流,以及实时交易解码以检测附加指令。行业利益相关者正在评估改进的启发式方法,以标记与典型兑换模式偏离的复合交易。
值得注意的是,该事件突显出赋予浏览器扩展签名权限所固有的更广泛风险,因为闭源代码可能隐藏恶意逻辑。社区驱动的审计、开源工具以及去中心化签名协议被提出作为保护链上资产流动的缓解策略。
随着去中心化金融(DeFi)活动的增长,该事件凸显了在用户界面层面制定严格安全标准的必要性。开发者和托管方必须合作,在便捷功能与健全的安全检查之间取得平衡,确保用户的授权准确反映离散的链上指令。若缺乏此类措施,类似的手续费窃取或资金转移漏洞可能在各个平台蔓延。
研究人员将继续监控攻击者的钱包以获取后续交易,并与执法机构合作追踪赃款。Solana 社区、交易所运营方和网络安全公司正携手共享威胁情报,强化在去中心化交易环境中进行安全浏览互动的最佳实践。
评论 (0)