Chrome 扩展 Crypto Copilot 秘密地从 Solana 交易者那里抽取费用

！image

资料来源：PortaldoBitcoin 原始标题：Chrome扩展程序已将Solana交易者的费用转移了数月 原文链接： https://portaldobitcoin.uol.com.br/extensao-do-chrome-desvia-taxas-de-traders-de-solana-ha-meses/ 一款 Chrome 扩展程序，作为一种实用的交易工具在销售，自去年六月以来一直秘密地从用户的交易中窃取 Solana (SOL)，在每笔交易中注入隐藏费用，同时伪装成合法的 Solana 交易助手。

网络安全公司Socket在对Chrome网上商店的“持续监控”中发现了恶意扩展Crypto Copilot，安全工程师和研究员Kush Pandya报告称。

恶意扩展分析

在对恶意扩展的详细分析中，Pandya 写道，Crypto Copilot 在每笔 Solana 交易中静默地添加了一条额外的转账指令，从每笔交易中提取最低 0.0013 SOL 或 0.05% 的交易金额到攻击者控制的钱包中。

"我们的AI扫描仪标记了多个指标：代码的激进混淆，一个嵌入在交易逻辑中的Solana地址，以及扩展声明的功能与网络实际行为之间的差异，"Pandya说，并补充道：“这些警报引发了更深入的手动分析，确认了隐藏的费用提取机制。”

研究指出基于浏览器的加密工具存在风险，特别是那些结合社交媒体集成和交易签名功能的扩展。

缺乏透明度

该扩展在Chrome Web Store上持续可用数月，却没有向用户发出任何关于隐藏在高度混淆代码中的未披露费用的警告，报告称。

"利率的行为从未在Chrome Web Store的扩展页面上公开，而实现它的逻辑隐藏在高度模糊的代码中，"Pandya指出。

每次用户交换代币时，扩展生成正确的Raydium交换指令，但会悄悄地添加一个额外的转账，将SOL转向攻击者的地址。

Raydium是一个基于Solana加密货币的去中心化自动化市场做市商，而"Raydium交换"仅指通过其流动性池将一个代币交换为另一个代币。

对用户的影响

安装了Crypto Copilot的用户，认为它会简化他们与Solana的交易，却在每次交易中不知不觉地支付了隐藏费用，这些费用从未出现在扩展的营销材料或Chrome Web Store的列表中。

界面仅显示交易的详细信息，钱包弹出窗口总结交易，因此用户签署看似是一次单一交易，尽管这两个指令在区块链上是同时执行的。

攻击者的钱包迄今只收到了少量资金，这表明Crypto Copilot尚未吸引到很多用户，并不表示该漏洞风险较低，正如所报道的那样。

费用结构

手续费机制与交易大小成比例。对于低于2.6 SOL的交换，适用最低手续费0.0013 SOL，超过此限额后，适用0.05%的百分比手续费。这意味着100 SOL的交换将收取0.05 SOL，按当前价格大约为10美元。

主域名扩展 cryptocopilot.app 在 GoDaddy 注册，而后端仅显示一个空白页面，尽管根据报告它收集了钱包数据。

安全建议

Socket已向谷歌Chrome Web Store的安全团队发送了删除请求。平台建议用户：

• 在签署交易之前，请检查每个指示
• 避免使用要求签名权限的封闭源交易扩展
• 如果您安装了 Crypto Copilot，请将您的资产迁移到干净的钱包中

背景：加密货币中的恶意软件模式

恶意软件仍然是加密货币用户日益关注的问题。在九月份，一种名为ModStealer的恶意软件被发现，针对Windows、Linux和macOS系统中的加密货币钱包，通过虚假的招聘广告进行传播，成功避开了主要杀毒软件近一个月的检测。

网络安全公司的技术总监早已警告，攻击者已侵入开发者账户，恶意代码试图在多条区块链交易中悄然更改加密货币钱包地址。