Une extension Chrome malveillante a secrètement siphonné des frais des traders de Solana pendant des mois

En bref

• L'extension Chrome Crypto Copilot ajoute secrètement un transfert SOL caché à chaque échange Raydium, siphonnant des frais vers le portefeuille d'un attaquant.
• La plateforme de sécurité Socket a découvert que l'extension utilise du code obscurci et un domaine backend mal orthographié et inactif pour masquer son activité.
• Le vol sur chaîne reste pour l'instant faible, mais le mécanisme se développe avec la taille des transactions, et l'extension est toujours disponible sur le Chrome Web Store.

Le hub d'art, de mode et de divertissement de Decrypt.

Découvrez SCENE

Une extension Chrome commercialisée comme un outil de trading pratique a secrètement siphonné des SOL des échanges des utilisateurs depuis juin dernier, injectant des frais cachés dans chaque transaction tout en se faisant passer pour un assistant de trading Solana légitime.

La société de cybersécurité Socket a découvert l'extension malveillante Crypto Copilot lors d'un “suivi continu” du Chrome Web Store, a déclaré l'ingénieur en sécurité et chercheur Kush Pandya à Decrypt.

🚨 Des chercheurs en socket ont découvert une extension Chrome malveillante qui injecte des transferts #SOL cachés dans les échanges Raydium, siphonnant discrètement des frais vers un portefeuille de l'attaquant.

Analyse complète → #Solana

— Socket (@SocketSecurity) 25 novembre 2025

<br>

Dans une analyse de l'extension malveillante publiée mercredi, Pandya a écrit que Crypto Copilot ajoute discrètement une instruction de transfert supplémentaire à chaque échange Solana, extrayant un minimum de 0,0013 SOL ou 0,05 % du montant de la transaction vers un portefeuille contrôlé par un attaquant.

“Notre scanner IA a signalé plusieurs indicateurs : obfuscation de code agressive, une adresse Solana codée en dur intégrée dans la logique de transaction, et des divergences entre la fonctionnalité déclarée de l'extension et le comportement réel du réseau,” a déclaré Pandya à Decrypt, ajoutant que “Ces alertes ont déclenché une analyse manuelle plus approfondie qui a confirmé le mécanisme d'extraction de frais cachés.”

La recherche met en évidence des risques liés aux outils de cryptomonnaie basés sur le navigateur, en particulier les extensions qui combinent l'intégration des réseaux sociaux avec des fonctionnalités de signature de transactions.

Selon le rapport, l'extension est restée disponible sur le Chrome Web Store pendant des mois, sans avertissement aux utilisateurs concernant les frais non divulgués enfouis dans un code fortement obscurci.

“Le comportement des frais n'est jamais divulgué sur la liste du Chrome Web Store, et la logique qui le met en œuvre est enfouie à l'intérieur d'un code fortement obscurci,” a noté Pandya.

Chaque fois qu'un utilisateur échange des jetons, l'extension génère la bonne instruction d'échange Raydium mais ajoute discrètement un transfert supplémentaire dirigeant SOL vers l'adresse de l'attaquant.

Raydium est un échange décentralisé basé sur Solana et un créateur de marché automatisé, tandis qu'un “swap Raydium” fait simplement référence à l'échange d'un jeton contre un autre via ses pools de liquidité.

Les utilisateurs qui ont installé Crypto Copilot, croyant que cela simplifierait leur trading Solana, ont involontairement payé des frais cachés à chaque échange, des frais qui n'apparaissaient jamais dans les supports marketing de l'extension ou dans la liste du Chrome Web Store.

L'interface affiche uniquement les détails de l'échange, et les fenêtres contextuelles du portefeuille résument la transaction, de sorte que les utilisateurs signent ce qui ressemble à un seul échange bien que les deux instructions s'exécutent simultanément sur la chaîne.

Le portefeuille de l'attaquant n'a reçu jusqu'à présent que de petites sommes, ce qui indique que Crypto Copilot n'a pas encore atteint de nombreux utilisateurs, plutôt qu'une indication que l'exploitation présente un faible risque, selon le rapport.

Le mécanisme de frais évolue avec la taille de la transaction, car pour les échanges inférieurs à 2,6 SOL, des frais minimums de 0,0013 SOL s'appliquent, et au-dessus de ce seuil, des frais de pourcentage de 0,05 % prennent effet, ce qui signifie qu'un échange de 100 SOL prélèverait 0,05 SOL, soit environ $10 aux prix actuels.

Le domaine principal de l'extension cryptocopilot[.]app est réservé par le registre de domaine GoDaddy, tandis que le backend à crypto-coplilot-dashboard[.]vercel[.]app, notoirement mal orthographié, affiche uniquement une page de remplissage vide malgré la collecte de données de portefeuille, selon le rapport.

Socket a soumis une demande de retrait à l'équipe de sécurité du Chrome Web Store de Google, bien que l'extension soit restée disponible au moment de la publication.

La plateforme a exhorté les utilisateurs à examiner chaque instruction avant de signer des transactions, à éviter les extensions de trading fermées demandant des permissions de signature, et à migrer des actifs vers des portefeuilles propres s'ils ont installé Crypto Copilot.

Modèles de logiciels malveillants

Les logiciels malveillants restent une préoccupation croissante pour les utilisateurs de crypto-monnaies. En septembre, une souche de logiciel malveillant appelée ModStealer a été découverte ciblant les portefeuilles de crypto-monnaies sur Windows, Linux et macOS via de fausses annonces de recruteurs d'emploi, échappant à la détection des principaux moteurs antivirus pendant presque un mois.

Le CTO de Ledger, Charles Guillemet, a précédemment averti que des attaquants avaient compromis un compte développeur NPM, avec un code malveillant tentant de changer silencieusement les adresses de portefeuille crypto lors des transactions sur plusieurs blockchains.