明目张胆的隐藏费用骗局：加密货币助手如何悄悄榨取Solana交易者

安全研究人员披露，Crypto Copilot，一个Chrome扩展程序，一直在从试图在Raydium上进行交换的用户那里悄悄提取SOL。该扩展程序并不是直接 draining 钱包，而是将一个隐藏的转账指令附加到合法交易上，直接将至少0.0013 SOL或0.05%的交易价值 siphoning 到攻击者的钱包中。

隐藏转账如何悄然绕过钱包屏幕

该扩展于2024年6月18日在Chrome网上应用店上线，由开发者账号“sjclark76”发布，旨在成为紧跟X的交易者的完美伴侣，承诺通过与DexScreener集成以获取定价、与Helius连接以获取区块链访问以及与Phantom和Solflare等主流钱包的整合，实现直接从动态信息中进行即时交换。

当用户发起交换时，扩展程序会在交易到达钱包之前静默地修改该交易。

恶意代码注入了一条额外的 SystemProgram.transfer 指令，将资金路由到一个硬编码的接收地址。由于合法的交换和盗窃合并为一个原子交易，钱包的确认屏幕仅显示预期的交易详情。额外的转账保持隐形，除非用户有意识地展开并检查每条指令，而这一步骤只有少数交易者会执行。

该扩展的源代码被严重压缩和隐藏，而其所谓的官方网站 cryptocopilot.app 仍然是一个没有功能内容的 GoDaddy 停放域名。截至2025年11月27日，扩展 Crypto Copilot 仍然可以在 Chrome 网上应用店中找到，已知的安装数量仅为 12 和 15。

用户在为时已晚之前必须做的事情

该虹吸方案于2025年11月25日由安全公司Socket披露，经过对该扩展的全面逆向工程。根据研究员Kush Pandya的说法，转账会悄悄添加并转发到个人钱包，而不是任何协议的钱库，这意味着大多数受害者在签署之前不会注意到，除非他们仔细审查每一条指令。

Socket已向Google提交了移除请求。这一事件发生在对Solana用户的一系列类似攻击之后，包括在2024年8月被标记的Bull Checker扩展和在2025年11月早些时候被标记的另一个高排名钱包，这些钱包使用类似的策略。

曾经安装过加密货币副驾驶的用户被建议立即删除该扩展，迁移剩余资金到一个新钱包，并使用 revoke.cash 等服务撤销所有相关授权。

向前看，建议交易者和投资者在签署之前手动审核每笔交易指令，特别是在使用第三方浏览器扩展与Solana协议互动时。

本文章最初发表为《明目张胆的隐藏费用骗局：加密货币助手如何悄悄掏空Solana交易者》，刊登在加密货币最新动态——您可信赖的加密货币新闻、比特币新闻和区块链更新来源。