警惕Chrome扩展窃取Solana资产，隐藏费用威胁数字钱包安全

一款名为Crypto Copilot的Chrome浏览器扩展程序，近日被曝光实为恶意软件，可在用户进行去中心化交易时秘密窃取Solana链上资产。该扩展通过在Raydium兑换交易中注入隐藏转账指令，将部分交易金额转入攻击者控制的钱包。

据Socket安全研究员Kush Pandya于11月25日披露，这款自2024年5月7日就上架Chrome应用商店的扩展程序，会在用户进行代币兑换时悄然附加未披露的SystemProgram.transfer方法。攻击者设定的手续费为0.0013 SOL或交易金额的0.05%（取较高值），这些资金均流向个人钱包而非协议金库。

为掩盖恶意行为，该扩展采用代码压缩和变量重命名等混淆技术，用户界面仅显示标准交易信息。同时其通过与托管在vercel平台的后台服务器通信，记录用户的钱包地址和操作行为。

尽管目前仅记录到12次安装，但截至11月26日该扩展仍可下载。安全分析指出，扩展通过整合DexScreener和Helius RPC等合规服务来营造可信形象，其整体架构设计仅是为了通过应用商店审核。

安全专家已提请下架该扩展，并建议Solana交易者在签署交易前仔细核验交易指令，避免使用来源不明的浏览器扩展程序。