一款悄然隱蔽的瀏覽器擴充功能,名為「Crypto Copilot」,在被網路安全公司 Socket 辨識之前,已發現長期竊取使用者 Solana 兌換交易中的交易費。該擴充自 2025 年 6 月起在 Chrome 線上應用商店提供,假裝是 Raydium 使用者的交易助手,但在合法的交換交易同時執行隱藏的轉移指令。
安裝後,『Crypto Copilot』在每個 DEX 兌換包中注入額外指令,將 0.0013 SOL 或兌換金額的 0.05% 轉移到攻擊者控制的錢包。透過在 Solana 上進行原子交易執行,該擴充繞過錢包介面警告,使不知情的使用者同時授權了預期與惡意的轉移。
鏈上分析顯示迄今為止受害者不多,累計損失也很小。然而,該漏洞會隨交易量線性放大,可能從高交易量的交易者身上竊取實質金額。舉例而言,100 SOL 的兌換每筆交易就會把 0.05 SOL 重新導向,按現行匯率大約相當於 10 美元。
安全專家指出,該擴充的後端基礎設施缺乏運作成熟度。主域名 cryptocopilot.app 被停放在一般的託管服務上,而儀表板端點包含拼寫錯誤,返回空白頁面。此類疏忽顯示該漏洞很可能來自業餘威脅行為者或自由職業者的努力,而非與國家級行動相關的高級攻擊行為。
Chrome 線上應用商店的流程使得該擴充在自動審查機制下仍然上架。Socket 已提出正式下架請求,但在報告時仍在等待移除。建議使用者檢查已安裝的擴充功能,撤銷簽署權限,若曾使用過該受影響工具,請將資金轉移至新錢包。
加密貨幣交易平台與錢包提供商被敦促實施擴充功能白名單控制、多重簽署工作流程,以及實時交易解碼以偵測附加指令。業界利害關係人正在評估增強的啟發式方法,以標記與通常兌換模式偏離的複合交易。
值得注意的是,此事件凸顯授予瀏覽器擴充功能簽名權限所固有的更廣泛風險,因為封閉原始碼可能隱藏惡意邏輯。社群主導的審計、開源工具,以及去中心化簽名協議被提出作為保護鏈上資產流動的緩解策略。
隨著 DeFi 活動成長,該攻擊凸顯在使用者介面層面建立嚴謹安全標準的必要性。開發者與托管方必須合作,在便利性功能與強健的安全檢查間取得平衡,確保使用者的授權能準確反映分散在鏈上的獨立指令。若缺乏此類措施,類似的費用竊取或資金重定向漏洞可能在各平台蔓延。
研究人員將繼續監測攻擊者的錢包以取得後續交易,並與執法機構協調以追蹤被盜資金。Solana 社群、交易所營運方與網路安全公司正共同分享威脅情報,強化在去中心化交易環境中進行安全瀏覽器互動的最佳實踐。
評論 (0)