¡Cuidado con la nueva extensión maliciosa! Crypto Copilot roba el 0.05% de los activos de cada transacción de los usuarios de Solana.

El equipo de investigación de amenazas de Socket ha descubierto recientemente que una extensión de Chrome llamada Crypto Copilot, desde su lanzamiento en junio de 2024, ha estado robando continuamente fondos de los comerciantes de Solana. Esta extensión adjunta en secreto instrucciones adicionales en cada transacción de intercambio de Raydium, transfiriendo al menos 0.0013 SOL o el 0.05% del monto de la transacción a una billetera controlada por el atacante. Actualmente, la extensión sigue operando en la tienda de aplicaciones de Chrome, y los investigadores han enviado una solicitud de deslistando a Google, pero aún no han recibido confirmación de procesamiento.

Análisis profundo del mecanismo de operación del código malicioso

La extensión Crypto Copilot oculta su comportamiento malicioso mediante un código JavaScript altamente ofuscado, construyendo dos instrucciones consecutivas cuando el usuario realiza una operación de intercambio normal en Raydium. Superficialmente, la extensión genera instrucciones de intercambio estándar, pero en realidad, luego se adjunta una segunda instrucción de transferencia que envía los fondos del usuario a la billetera del atacante con la dirección Bjeida. Esta estructura de doble instrucción, cuidadosamente diseñada, permite que el usuario vea solo la operación de intercambio legítima en la interfaz, y la mayoría de las ventanas de confirmación de billetera solo muestran un resumen general de la transacción en lugar de una lista completa de instrucciones.

(Fuente: Socket)

La lógica de tarifas de esta extensión está completamente codificada en el programa, adoptando el principio de cobrar la tarifa mínima o el porcentaje más alto. En concreto, cada transacción roba al menos 0.0013 SOL, y cuando el monto de la transacción supera 2.6 SOL, se retira un 0.05% del monto. Este diseño escalonado garantiza ingresos básicos en transacciones pequeñas y asegura que las transacciones grandes puedan obtener mayores ganancias, mostrando la cuidadosa consideración del atacante por la maximización de beneficios.

Los investigadores descubrieron que la extensión también oculta comportamientos maliciosos mediante la renombración de variables y la compresión mínima activa, con la dirección de la billetera del atacante enterrada en etiquetas de variables irrelevantes en el paquete de código. Además de la función de robo de fondos, la extensión envía regularmente identificadores de billetera conectados y datos de actividad a un backend llamado crypto-coplilot-dashboard.vercel.app, un nombre de dominio mal escrito que actualmente solo muestra una página de marcador de posición en blanco, reflejando la rudimentaria infraestructura del atacante.

Características técnicas de expansión maliciosa y resumen de datos

Técnica de ataque

• Red objetivo: Solana
• Objetivo del ataque: usuarios de negociación de Raydium
• Proporción de robo: 0.05% o un mínimo de 0.0013 SOL
• Métodos encubiertos: adición de instrucciones de negociación, ofuscación de código

Detalles técnicos

• Usar claves API Helius codificadas en duro para simular transacciones
• Conectando al backend de dominio con error ortográfico
• Ocultar código malicioso a través del renombrado de variables

Alcance de la influencia

• Fecha de lanzamiento: junio de 2024
• Estado actual: todavía se puede descargar desde la tienda de Chrome
• Fuga de datos: identificador de billetera y datos de transacciones

Antecedentes e tendencias de los ataques de extensiones de navegador

En 2025, las extensiones de navegador se han convertido en uno de los vehículos de ataque criptográfico más persistentes, una tendencia que se confirma aún más con el lanzamiento del informe de análisis Crypto Copilot por parte del equipo de Socket. Al revisar los incidentes de seguridad de julio, se descubrieron más de 40 extensiones maliciosas de Firefox que se hacían pasar por proveedores de billetera de renombre, incluyendo MetaMask, Coinbase, Phantom, OKX y Trust Wallet. Estas extensiones falsificadas obtienen directamente las credenciales de la billetera de los navegadores de los usuarios y las transfieren a servidores controlados por los atacantes.

Las respuestas de los intercambios a este tipo de amenazas son cada vez más rápidas. OKX emitió una advertencia pública y presentó una queja a las autoridades correspondientes tras descubrir un complemento falso que simulaba ser una herramienta de billetera oficial. Esta respuesta proactiva refleja un aumento en la conciencia de la industria sobre la peligrosidad de los ataques de extensiones de navegador, pero las fallas en el mecanismo de revisión de extensiones aún permiten que los programas maliciosos tengan oportunidades.

En términos de la magnitud de las pérdidas, los datos de CertiK muestran que en la primera mitad de 2025, de los 2.2 mil millones de dólares robados, las vulnerabilidades relacionadas con la billetera representaron hasta 1.7 mil millones de dólares, mientras que los incidentes de phishing causaron pérdidas adicionales de 410 millones de dólares. A pesar de que la situación de seguridad general mejoró en octubre, con registros de PeckShield que indican que solo ocurrieron 15 incidentes de seguridad ese mes, con una pérdida total de 18.18 millones de dólares, estableciendo el nivel más bajo del año, la amenaza de las extensiones de navegador mostró una tendencia al alza.

Estrategias de protección del usuario y recomendaciones para la mitigación de riesgos

Ante la creciente amenaza de las extensiones del navegador, los usuarios de Solana y otros participantes en criptomonedas necesitan establecer un sistema de defensa en múltiples niveles. El principio fundamental es revisar cuidadosamente las solicitudes de permisos de las extensiones, especialmente aquellas que requieren acceso a todos los datos del sitio web o la introducción de información sensible. Antes de instalar, se debe verificar la identidad del desarrollador, revisar las opiniones de los usuarios y el historial de actualizaciones, y mantener especial precaución con las herramientas emergentes que carecen de una acumulación de reputación.

La optimización de los hábitos de trading también es clave. Los usuarios deben revisar detenidamente los detalles completos de la transacción en la ventana de confirmación de la billetera antes de ejecutar cada operación, y no solo confiar en el resumen avanzado. Para los usuarios del ecosistema de Solana, se puede considerar el uso de billeteras que soporten la interpretación de instrucciones de transacción, estas herramientas pueden descomponer las complejas instrucciones de transacción en partes más comprensibles, ayudando a identificar operaciones anormales.

Desde el punto de vista de la protección técnica, revisar regularmente las extensiones de navegador instaladas y eliminar a tiempo los componentes innecesarios o sospechosos es una medida de prevención eficaz. Utilizar un navegador especializado para operaciones de criptomonedas, aislándolo de las actividades de navegación diarias, también puede reducir significativamente la exposición al riesgo. Aunque las billeteras de hardware no pueden detener completamente este tipo de ataques, pueden proporcionar una capa de seguridad adicional para activos de gran cantidad, limitando el alcance de las pérdidas potenciales.

La necesidad urgente de responsabilidad de la plataforma y colaboración en la industria

La falla del mecanismo de revisión de la tienda de aplicaciones de Chrome se ha expuesto en este incidente. La extensión Crypto Copilot ha podido operar de manera continua durante casi medio año desde junio sin ser interrumpida, lo que refleja la debilidad técnica de la plataforma en la detección de código malicioso. Aunque el equipo de Socket ha presentado una solicitud de deslistando, el retraso en el manejo por parte de Google podría llevar a que más usuarios sean víctimas, y esta velocidad de respuesta está gravemente desajustada con las necesidades de seguridad de la industria cripto.

Desde la perspectiva de la autorregulación de la industria, los proveedores de billetera necesitan asumir más responsabilidades educativas. Mejorando la forma en que se presenta la información en la interfaz de confirmación de transacciones y proporcionando advertencias de riesgo más intuitivas, se puede ayudar a los usuarios a identificar mejor las transacciones anómalas. Billeteras populares como Phantom han comenzado a explorar funciones de simulación de transacciones, mostrando a los usuarios los resultados esperados de las transacciones antes de firmarlas, esta característica es especialmente efectiva para detectar instrucciones ocultas.

La coordinación regulatoria también es un aspecto importante para abordar las amenazas de expansión. Las autoridades financieras de cada país deberían fortalecer la supervisión del mercado de extensiones de navegador y establecer un mecanismo de comunicación rápida con las plataformas. Al mismo tiempo, las agencias de aplicación de la ley necesitan mejorar su capacidad técnica para rastrear fondos en la cadena, con el fin de poder congelar rápidamente los fondos involucrados al descubrir extensiones maliciosas, creando así la posibilidad de recuperar las pérdidas para las víctimas.

Evolución de las amenazas a la seguridad y construcción de un sistema de defensa ecológica

El evento de Crypto Copilot no solo es una advertencia de seguridad independiente, sino que también es el último ejemplo de la evolución continua de las amenazas de las extensiones del navegador. A medida que el proceso de masificación de la industria cripto se acelera, la sofisticación técnica de los atacantes también está en constante aumento, desde sitios web de phishing simples hasta ofuscaciones de código complejas, lo que requiere que los defensores actualicen sus estrategias de respuesta a la misma velocidad. Para los usuarios comunes, cultivar la conciencia de seguridad y hábitos prudentes es el escudo de protección más efectivo; para los participantes de la industria, construir inteligencia de amenazas compartida y mecanismos de respuesta rápida es la base para garantizar un desarrollo saludable del ecosistema. En el futuro previsible, las extensiones del navegador seguirán siendo un punto de entrada importante para los atacantes, y solo a través de los esfuerzos combinados de educación del usuario, mejora tecnológica y colaboración regulatoria se podrá tomar la iniciativa en esta continua guerra de defensa y ataque de seguridad.