惡意 Chrome 擴展程序 'Crypto Copilot' 被發現向 Solana 交易注入隱藏費用

！image

資料來源：CoinEdition 原標題：惡意Chrome擴展程序‘Crypto Copilot’被發現向Solana交換中注入隱藏費用 原文連結： https://coinedition.com/malicious-chrome-extension-crypto-copilot-caught-injecting-hidden-fees-into-solana-swaps/

黑客，騙局與修復

• 黑客事件： 一個名爲 “Crypto Copilot” 的Chrome擴展程序祕密地在用戶的交易中添加了費用轉移。
• 這個技巧： 它在合法的 Raydium 交易中隱藏了一條 SystemProgram.transfer 指令。
• 修復措施： 用戶必須在籤名之前在錢包預覽中驗證每筆交易指令。

一個惡意的瀏覽器擴展僞裝成Solana交易工具，被發現通過悄悄修改交易負載從用戶那裏 siphoning 資金。

安全研究人員發現了一款有害的Chrome擴展程序，旨在在Solana用戶進行交易時祕密竊取少量SOL。這款名爲Crypto Copilot的擴展看起來像一個普通的交易工具，但在每筆交易中悄悄添加了一筆額外的轉帳。

假擴展如何工作

威脅研究團隊發現，Crypto Copilot 自 2024 年 6 月以來已在 Chrome 網上商店上架。它自稱爲一個工具，讓人們可以直接從他們的 X 動態中交易 Solana 代幣。該擴展顯示代幣價格，連接到流行的錢包，並在表面上看起來完全安全。

然而，當用戶進行交換時，擴展程序構建正常的 Raydium 交換指令，然後祕密添加第二個指令。額外的指令在不告知用戶的情況下將 SOL 發送到攻擊者控制的錢包。最低扣除金額爲 0.0013 SOL，或者如果交易足夠大，則爲交換規模的 0.05%。

錢包通常只顯示交易的主要摘要。大多數用戶不會展開完整的指令列表，因此他們不會注意到兩個獨立的操作正在同時簽署。

外表看起來合法；內心可疑

Crypto Copilot 努力表現得像一個真實且有幫助的產品。它在 X 上檢測代幣名稱，顯示 DexScreener 數據，並支持知名錢包如 Phantom 和 Solflare。它還僅請求常見的錢包權限。

但後臺揭示了真相。該擴展程序將數據發送到一個沒有真實網站的域名上，只顯示一個空白頁面。它的官方網站已被停放，未托管任何有效的產品。甚至後臺域名的名稱中也有拼寫錯誤。這些細節表明，創建者並沒有計劃建立一個真正的交易服務。

代碼也被嚴重隱藏，難以閱讀。關鍵部分，包括攻擊者的錢包地址，都埋藏在冗長且令人困惑的腳本中。

隱藏費用隨着時間的推移而增加

該擴展以兩種方式向用戶收費。對於低於 2.6 SOL 的交換，最低收費爲 0.0013 SOL。對於超過該金額的交易，收費爲交換金額的 0.05%。例如，一筆 100 SOL 的交易將祕密發送 0.05 SOL 給攻擊者。

到目前爲止，攻擊者並沒有收集到多少($6.86)，這表明該擴展尚未廣泛傳播。但系統的設計是可擴展的，這意味着大型或頻繁交易者可能在不知情的情況下損失大量資金。

Solana 用戶警告

研究人員表示，這個擴展從未打算作爲一個真正的產品運作。它的存在只是爲了看起來值得信賴，同時在後臺收取費用。建議用戶避免使用未知的瀏覽器擴展，特別是那些要求錢包訪問或承諾一鍵交易的擴展。

“僅從經過驗證的發布者頁面安裝錢包擴展，而不是 Chrome 網上應用店的搜索結果，” 研究指出。