一款名为Crypto Copilot的Chrome浏览器扩展程序,近日被曝光实为恶意软件,可在用户进行去中心化交易时秘密窃取Solana链上资产。该扩展通过在Raydium兑换交易中注入隐藏转账指令,将部分交易金额转入攻击者控制的钱包。
据Socket安全研究员Kush Pandya于11月25日披露,这款自2024年5月7日就上架Chrome应用商店的扩展程序,会在用户进行代币兑换时悄然附加未披露的SystemProgram.transfer方法。攻击者设定的手续费为0.0013 SOL或交易金额的0.05%(取较高值),这些资金均流向个人钱包而非协议金库。
为掩盖恶意行为,该扩展采用代码压缩和变量重命名等混淆技术,用户界面仅显示标准交易信息。同时其通过与托管在vercel平台的后台服务器通信,记录用户的钱包地址和操作行为。
尽管目前仅记录到12次安装,但截至11月26日该扩展仍可下载。安全分析指出,扩展通过整合DexScreener和Helius RPC等合规服务来营造可信形象,其整体架构设计仅是为了通过应用商店审核。
安全专家已提请下架该扩展,并建议Solana交易者在签署交易前仔细核验交易指令,避免使用来源不明的浏览器扩展程序。
