发现场景
一款作为便捷交易工具的Chrome扩展,自去年六月以来一直在秘密 siphoning 用户的 SOL,通过在每笔交易中注入隐藏费用,同时伪装成合法的Solana交易助手。
网络安全公司Socket在对Chrome Web Store进行"持续监控"时发现了恶意扩展Crypto Copilot,安全工程师兼研究员Kush Pandya告诉Decrypt。
🚨 Socket研究人员发现了一个恶意的Chrome扩展,它在Raydium交换中注入隐藏的#SOL转账,悄悄地将费用 siphon 到攻击者的钱包。 完整分析 → #Solana — 插座 (@插座安全) 2025年11月25日
🚨 Socket研究人员发现了一个恶意的Chrome扩展,它在Raydium交换中注入隐藏的#SOL转账,悄悄地将费用 siphon 到攻击者的钱包。
完整分析 → #Solana
— 插座 (@插座安全) 2025年11月25日
<br>
在周三发布的关于恶意扩展的分析中,Pandya 写道,Crypto Copilot 安静地在每个 Solana 交换中附加了一条额外的转账指令,将至少 0.0013 SOL 或 交易金额的 0.05% 提取到攻击者控制的钱包中。
"我们的AI扫描仪标记了多个指标:激进的代码混淆、嵌入交易逻辑中的硬编码Solana地址,以及扩展声明的功能与实际网络行为之间的差异,"Pandya对Decrypt表示,并补充道:“这些警报触发了更深入的手动分析,确认了隐藏的费用提取机制。”
研究指出基于浏览器的加密工具存在风险,特别是那些将社交媒体集成与交易签名功能相结合的扩展。
报告称,这个扩展在Chrome网上应用店已经可用数月,但没有警告用户关于隐藏在高度混淆代码中的未披露费用。
“费用行为在 Chrome 网上应用店的列表中从未披露,而实现它的逻辑则隐藏在 heavily obfuscated 代码中,” Pandya 指出。
每次用户交换代币时,扩展都会生成适当的Raydium交换指令,但会悄悄附加一个额外的转账,将SOL指向攻击者的地址。
Raydium是一个基于Solana的去中心化交易所和自动化做市商,而"Raydium swap"则指通过其流动性池交换一种代币为另一种代币。
安装了Crypto Copilot的用户认为它会简化他们的Solana交易,却在每次兑换中无意中支付了隐藏费用,这些费用从未出现在该扩展的营销材料或Chrome Web Store列表中。
界面仅显示交换细节,钱包弹出窗口总结交易,因此用户签署看起来像是单一交换的内容,尽管这两个指令在链上同时执行。
攻击者的钱包迄今只收到少量资金,这表明Crypto Copilot尚未触及许多用户,而不是表明该漏洞风险低,报告中提到。
费用机制与交易规模成比例,对于少于 2.6 SOL 的兑换,适用最低 0.0013 SOL 的费用,超过该阈值后适用 0.05% 的百分比费用,这意味着 100 SOL 的兑换将提取 0.05 SOL,按当前价格大约为 $10 。
该扩展的主域名 cryptocopilot[.]app 由域名注册商 GoDaddy 停放,而后端 crypto-coplilot-dashboard[.]vercel[.]app,显著拼写错误,仅显示一个空白占位页面,尽管收集了钱包数据,报告称。
Socket已向谷歌Chrome网上应用店安全团队提交了下架请求,但截至出版时,该扩展仍可用。
该平台已敦促用户在签署交易之前仔细审查每个指令,避免请求签名权限的闭源交易扩展,并在安装了 Crypto Copilot 的情况下将资产迁移到干净的钱包。
恶意软件仍然是加密用户日益关注的问题。在九月份,一种名为ModStealer的恶意软件被发现通过虚假的招聘广告针对Windows、Linux和macOS上的加密钱包,在主要的防病毒引擎中隐匿了近一个月。
Ledger首席技术官Charles Guillemet此前警告称,攻击者已破坏了一个NPM开发者账户,恶意代码试图在多个区块链交易中悄悄地交换加密钱包地址。
21.15万 热度
222 热度
65 热度
50 热度
56 热度
恶意软件Chrome扩展程序秘密从Solana交易者那里 siphoned 费用达数月
简要
Decrypt的艺术、时尚和娱乐中心。
发现场景
一款作为便捷交易工具的Chrome扩展,自去年六月以来一直在秘密 siphoning 用户的 SOL,通过在每笔交易中注入隐藏费用,同时伪装成合法的Solana交易助手。
网络安全公司Socket在对Chrome Web Store进行"持续监控"时发现了恶意扩展Crypto Copilot,安全工程师兼研究员Kush Pandya告诉Decrypt。
<br>
在周三发布的关于恶意扩展的分析中,Pandya 写道,Crypto Copilot 安静地在每个 Solana 交换中附加了一条额外的转账指令,将至少 0.0013 SOL 或 交易金额的 0.05% 提取到攻击者控制的钱包中。
"我们的AI扫描仪标记了多个指标:激进的代码混淆、嵌入交易逻辑中的硬编码Solana地址,以及扩展声明的功能与实际网络行为之间的差异,"Pandya对Decrypt表示,并补充道:“这些警报触发了更深入的手动分析,确认了隐藏的费用提取机制。”
研究指出基于浏览器的加密工具存在风险,特别是那些将社交媒体集成与交易签名功能相结合的扩展。
报告称,这个扩展在Chrome网上应用店已经可用数月,但没有警告用户关于隐藏在高度混淆代码中的未披露费用。
“费用行为在 Chrome 网上应用店的列表中从未披露,而实现它的逻辑则隐藏在 heavily obfuscated 代码中,” Pandya 指出。
每次用户交换代币时,扩展都会生成适当的Raydium交换指令,但会悄悄附加一个额外的转账,将SOL指向攻击者的地址。
Raydium是一个基于Solana的去中心化交易所和自动化做市商,而"Raydium swap"则指通过其流动性池交换一种代币为另一种代币。
安装了Crypto Copilot的用户认为它会简化他们的Solana交易,却在每次兑换中无意中支付了隐藏费用,这些费用从未出现在该扩展的营销材料或Chrome Web Store列表中。
界面仅显示交换细节,钱包弹出窗口总结交易,因此用户签署看起来像是单一交换的内容,尽管这两个指令在链上同时执行。
攻击者的钱包迄今只收到少量资金,这表明Crypto Copilot尚未触及许多用户,而不是表明该漏洞风险低,报告中提到。
费用机制与交易规模成比例,对于少于 2.6 SOL 的兑换,适用最低 0.0013 SOL 的费用,超过该阈值后适用 0.05% 的百分比费用,这意味着 100 SOL 的兑换将提取 0.05 SOL,按当前价格大约为 $10 。
该扩展的主域名 cryptocopilot[.]app 由域名注册商 GoDaddy 停放,而后端 crypto-coplilot-dashboard[.]vercel[.]app,显著拼写错误,仅显示一个空白占位页面,尽管收集了钱包数据,报告称。
Socket已向谷歌Chrome网上应用店安全团队提交了下架请求,但截至出版时,该扩展仍可用。
该平台已敦促用户在签署交易之前仔细审查每个指令,避免请求签名权限的闭源交易扩展,并在安装了 Crypto Copilot 的情况下将资产迁移到干净的钱包。
恶意软件模式
恶意软件仍然是加密用户日益关注的问题。在九月份,一种名为ModStealer的恶意软件被发现通过虚假的招聘广告针对Windows、Linux和macOS上的加密钱包,在主要的防病毒引擎中隐匿了近一个月。
Ledger首席技术官Charles Guillemet此前警告称,攻击者已破坏了一个NPM开发者账户,恶意代码试图在多个区块链交易中悄悄地交换加密钱包地址。