一款被宣传为便捷交易工具的Chrome扩展自去年六月以来一直在秘密地从用户的交易中 siphoning SOL，在每笔交易中注入隐藏费用，同时伪装成合法的Solana交易助手。

网络安全公司Socket在对Chrome Web Store进行“持续监控”时发现了恶意扩展Crypto Copilot，安全工程师和研究员Kush Pandya告诉Decrypt。

在周三发布的对该恶意扩展的分析中，Pandya写道，Crypto Copilot悄悄地在每个Solana交易中附加了一条额外的转账指令，从中提取至少0.0013 SOL或交易金额的0.05%到攻击者控制的钱包中。

“我们的AI扫描器标记了多个指标：激进的代码混淆、嵌入在交易逻辑中的硬编码Solana地址，以及扩展声明的功能与实际网络行为之间的差异，”Pandya告诉Decrypt，并补充道：“这些警报触发了更深入的手动分析，确认了隐藏费用提取机制。”

研究指出了基于浏览器的加密工具的风险，特别是那些将社交媒体集成与交易签名能力结合的扩展。

报告称，该扩展在Chrome Web Store上已经可用数月，用户并未收到关于隐藏在高度混淆代码中的未披露费用的警告。

“费用行为从未在Chrome Web Store列表中披露，而实现该逻辑的代码则隐藏在高度混淆的代码中，”Pandya指出。

每当用户交换代币时，该扩展会生成适当的Raydium交换指令，但会悄悄附加一条额外的转账指令，将SOL转向攻击者的地址。

Raydium是一个基于Solana的去中心化交易所和自动化做市商，而“Raydium交换”仅指通过其流动性池交换一种代币为另一种代币。

安装了Crypto Copilot的用户，原本相信它会简化他们的Solana交易，却在每次交换中无意中支付了隐藏费用，这些费用从未出现在扩展的营销材料或Chrome Web Store列表中。

界面仅显示交换细节，钱包弹出窗口总结交易，因此用户签署的看似是单一的交换，即使这两条指令在链上同时执行。

截至目前，攻击者的钱包仅收到少量资金，这表明Crypto Copilot尚未覆盖许多用户，而不是表明该漏洞风险低，报告称。

费用机制与交易规模成比例，对于低于2.6 SOL的交换，适用最低0.0013 SOL费用，而超过该阈值时，0.05%的百分比费用生效，这意味着100 SOL的交换将提取0.05 SOL，按当前价格大约为10美元。

该扩展的主域名 cryptocopilot[.]app 被域名注册商GoDaddy停放，而后端的crypto-coplilot-dashboard[.]vercel[.]app，显著拼写错误，仅显示一个空白占位页面，尽管收集了钱包数据，报告称。

Socket已向谷歌的Chrome Web Store安全团队提交了下架请求，尽管在发布时该扩展仍然可用。

该平台已敦促用户在签署交易之前审查每条指令，避免请求签名权限的闭源交易扩展，并在安装了Crypto Copilot后将资产迁移到干净的钱包中。

恶意软件模式

恶意软件仍然是加密用户日益关注的问题。在九月份，一种名为ModStealer的恶意软件变种被发现通过虚假的招聘广告针对Windows、Linux和macOS上的加密钱包，几乎一个月内未被主要杀毒引擎检测到。

Ledger首席技术官Charles Guillemet曾警告称，攻击者已入侵一个NPM开发者账户，恶意代码试图在多个区块链的交易中悄悄交换加密钱包地址。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。