Tiện ích mở rộng Chrome độc hại bí mật đã rút tiền phí từ các nhà giao dịch Solana trong nhiều tháng.

Tóm tắt

• Tiện ích mở rộng Chrome Crypto Copilot bí mật thêm một lần chuyển SOL ẩn vào mỗi giao dịch Raydium, hút phí vào ví của kẻ tấn công.
• Nền tảng bảo mật Socket phát hiện rằng tiện ích mở rộng sử dụng mã bị che giấu và một miền backend bị đánh vần sai, không hoạt động để che giấu hoạt động của nó.
• Trộm cắp trên chuỗi vẫn còn nhỏ cho đến nay, nhưng cơ chế này mở rộng theo kích cỡ giao dịch, và phần mở rộng vẫn đang hoạt động trên Cửa hàng Web Chrome.

Trung tâm Nghệ thuật, Thời trang và Giải trí của Decrypt.

Khám Phá SCENE

Một tiện ích mở rộng Chrome được tiếp thị như một công cụ giao dịch tiện lợi đã âm thầm hút SOL từ các giao dịch của người dùng kể từ tháng Sáu năm ngoái, tiêm các khoản phí ẩn vào mỗi giao dịch trong khi giả mạo là một trợ lý giao dịch Solana hợp pháp.

Công ty an ninh mạng Socket đã phát hiện ra phần mở rộng malware Crypto Copilot trong quá trình “giám sát liên tục” cửa hàng Chrome Web, kỹ sư an ninh và nhà nghiên cứu Kush Pandya cho Decrypt biết.

🚨 Các nhà nghiên cứu socket đã phát hiện một tiện ích mở rộng Chrome độc hại tiêm các giao dịch #SOL ẩn vào các giao dịch Raydium, lén lút rút phí vào ví của kẻ tấn công.

Phân tích đầy đủ → #Solana

— Socket (@SocketSecurity) 25 tháng 11, 2025

<br>

Trong một phân tích về tiện ích độc hại được công bố vào thứ Tư, Pandya viết rằng Crypto Copilot lén lút thêm một hướng dẫn chuyển nhượng bổ sung vào mỗi giao dịch hoán đổi Solana, trích xuất tối thiểu 0.0013 SOL hoặc 0.05% số tiền giao dịch đến một ví do kẻ tấn công kiểm soát.

“Máy quét AI của chúng tôi đã phát hiện nhiều chỉ báo: mã hóa mã độc hại, một địa chỉ Solana được mã hóa cứng trong logic giao dịch, và sự không nhất quán giữa chức năng được tuyên bố của tiện ích mở rộng và hành vi thực tế của mạng,” Pandya nói với Decrypt, thêm rằng “Các cảnh báo này đã kích hoạt phân tích thủ công sâu hơn xác nhận cơ chế thu phí ẩn.”

Nghiên cứu chỉ ra những rủi ro trong các công cụ tiền điện tử dựa trên trình duyệt, đặc biệt là các tiện ích mở rộng kết hợp tích hợp mạng xã hội với khả năng ký giao dịch.

Báo cáo cho biết, tiện ích này đã có sẵn trên Cửa hàng Web Chrome trong nhiều tháng mà không có cảnh báo nào cho người dùng về các khoản phí không được tiết lộ ẩn sâu trong mã được mã hóa phức tạp.

“Hành vi phí không bao giờ được công khai trên danh sách của Chrome Web Store, và logic thực hiện nó được chôn sâu trong mã code bị làm khó đọc,” Pandya nhận xét.

Mỗi khi người dùng hoán đổi token, tiện ích mở rộng sẽ tạo ra hướng dẫn hoán đổi Raydium thích hợp nhưng âm thầm thêm một lần chuyển hướng SOL đến địa chỉ của kẻ tấn công.

Raydium là một sàn giao dịch phi tập trung và nhà tạo lập thị trường tự động dựa trên Solana, trong khi “Raydium swap” chỉ đơn giản là việc trao đổi một token này lấy một token khác thông qua các pool thanh khoản của nó.

Người dùng đã cài đặt Crypto Copilot, tin rằng nó sẽ giúp giao dịch Solana của họ trở nên dễ dàng hơn, không hề hay biết rằng họ đã phải trả những khoản phí ẩn với mỗi lần hoán đổi, những khoản phí mà chưa bao giờ xuất hiện trong tài liệu tiếp thị của tiện ích mở rộng hoặc danh sách trên Chrome Web Store.

Giao diện chỉ hiển thị chi tiết hoán đổi, và các pop-up ví tóm tắt giao dịch, vì vậy người dùng ký vào cái mà trông giống như một hoán đổi duy nhất mặc dù cả hai hướng dẫn đều được thực thi đồng thời trên chuỗi.

Ví của kẻ tấn công chỉ nhận được một số tiền nhỏ cho đến nay, một dấu hiệu cho thấy Crypto Copilot chưa tiếp cận được nhiều người dùng, chứ không phải là chỉ ra rằng lỗ hổng này có rủi ro thấp, theo báo cáo.

Cơ chế phí tỷ lệ với kích thước giao dịch, vì đối với các giao dịch hoán đổi dưới 2.6 SOL, mức phí tối thiểu 0.0013 SOL áp dụng, và vượt qua ngưỡng đó, mức phí tỷ lệ 0.05% có hiệu lực, có nghĩa là một giao dịch hoán đổi 100 SOL sẽ lấy đi 0.05 SOL, khoảng $10 theo giá hiện tại.

Tên miền chính của tiện ích mở rộng cryptocopilot[.]app được giữ bởi nhà đăng ký tên miền GoDaddy, trong khi backend tại crypto-coplilot-dashboard[.]vercel[.]app, được đánh vần sai, chỉ hiển thị một trang giữ chỗ trống mặc dù đã thu thập dữ liệu ví, báo cáo cho biết.

Socket đã gửi yêu cầu gỡ bỏ đến đội ngũ an ninh của Cửa hàng Web Chrome của Google, mặc dù tiện ích mở rộng vẫn có sẵn tại thời điểm xuất bản.

Nền tảng đã khuyến khích người dùng xem xét từng hướng dẫn trước khi ký các giao dịch, tránh các tiện ích giao dịch mã nguồn đóng yêu cầu quyền ký, và di chuyển tài sản đến ví sạch nếu họ đã cài đặt Crypto Copilot.

Mẫu phần mềm độc hại

Phần mềm độc hại vẫn là một mối quan tâm ngày càng tăng đối với người dùng tiền điện tử. Vào tháng Chín, một biến thể phần mềm độc hại có tên ModStealer đã được phát hiện nhắm vào ví tiền điện tử trên Windows, Linux và macOS thông qua các quảng cáo tuyển dụng giả, né tránh sự phát hiện của các phần mềm diệt virus lớn trong gần một tháng.

CTO của Ledger, Charles Guillemet, trước đây đã cảnh báo rằng những kẻ tấn công đã xâm phạm một tài khoản nhà phát triển NPM, với mã độc cố gắng lén lút thay đổi địa chỉ ví tiền điện tử trong quá trình giao dịch trên nhiều blockchain.