Берегитесь нового типа вредоносного расширения! Crypto Copilot крадет 0,05% активов Solana у каждого пользователя за каждую транзакцию.

Команда исследований угроз Socket недавно обнаружила, что расширение Chrome под названием Crypto Copilot с момента своего запуска в июне 2024 года продолжает красть средства у трейдеров Solana. Это расширение тайно добавляет дополнительные команды к каждой сделке обмена Raydium, переводя как минимум 0.0013 SOL или 0.05% от суммы сделки на кошелек, контролируемый злоумышленниками. В настоящее время это расширение все еще работает в интернет-магазине Chrome, и исследователи подали запрос на делистинг в Google, но пока не получили подтверждения обработки.

Глубокий анализ механизма работы вредоносного кода

Расширение Crypto Copilot скрывает свои злонамеренные действия с помощью сильно запутанного JavaScript-кода, создавая две последовательные инструкции, когда пользователь выполняет нормальную операцию обмена Raydium. На поверхности расширение генерирует стандартные инструкции обмена, но на самом деле затем будет добавлена вторая инструкция перевода, которая переведет средства пользователя на адрес атакующего кошелька Bjeida. Эта тщательно продуманная структура из двух инструкций позволяет пользователю видеть только законные операции обмена на интерфейсе, в то время как большинство окон подтверждения кошелька также показывают только высокоуровневое резюме транзакции, а не полный список инструкций.

! Вредоносное ПО Crypto Copilot

（Источник：Socket）

Логика взимания платы за это расширение полностью закодирована в программе и основывается на принципе выбора между минимальной платой и процентной платой. В частности, за каждую транзакцию минимум взимается 0.0013 SOL, а когда сумма транзакции превышает 2.6 SOL, взимается 0.05% от суммы. Такой ступенчатый подход обеспечивает базовую прибыль для мелких транзакций и гарантирует большую прибыль для крупных транзакций, демонстрируя тонкий расчет злоумышленника на максимизацию доходов.

Исследователи обнаружили, что расширение также скрывает вредоносное поведение с помощью переименования переменных и активного минимизированного сжатия, адрес кошелька атакующего глубоко скрыт под несущественными метками переменных в пакете кода. Кроме функции кражи средств, расширение также регулярно отправляет идентификаторы подключенного кошелька и данные активности на бэкенд по адресу crypto-coplilot-dashboard.vercel.app, этот ошибочный домен в настоящее время отображает только пустую страницу-заполнитель, что отражает грубость инфраструктуры атакующего.

Злонамеренные расширенные технические характеристики и свод данных

Методы атаки

• Целевая сеть: Solana
• Целевая аудитория: пользователи торговли Raydium
• Процент кражи: 0.05% или минимум 0.0013 SOL
• Скрытые методы: добавление торговых команд, обфускация кода

Технические детали

• Используйте жестко закодированный Helius API ключ для симуляции торговли
• Подключение к бэкенду с ошибкой в написании домена
• Скрытие вредоносного кода с помощью переименования переменных

Область влияния

• Время запуска: июнь 2024 года
• Текущий статус: все еще доступно для загрузки в магазине Chrome
• Утечка данных: идентификатор Кошелька и данные о транзакциях

Отраслевой контекст и тенденции атак через расширения браузера

К 2025 году браузерные расширения стали одним из самых устойчивых векторов криптоатак, что было дополнительно подтверждено анализом Crypto Copilot, выпущенным командой Socket. Обзор событий безопасности за июль показал, что более 40 вредоносных расширений для Firefox были обнаружены, выдающими себя за ведущих поставщиков кошельков, включая MetaMask, Coinbase, Phantom, OKX и Trust Wallet. Эти поддельные расширения напрямую извлекали учетные данные кошелька из браузера пользователя и передавали их на серверы, контролируемые злоумышленниками.

Биржи становятся все более оперативными в ответ на такие угрозы. OKX опубликовала предупреждение и подала жалобу в соответствующие органы после обнаружения поддельных плагинов, выдающих себя за официальные инструменты кошелька. Эта активная реакция отражает растущее осознание отраслью опасности атак через расширения браузеров, однако уязвимости в механизме проверки расширений все еще позволяют вредоносным программам находить лазейки.

С точки зрения объема убытков, данные CertiK показывают, что в первой половине 2025 года из украденных 2,2 миллиарда долларов на уязвимости, связанные с кошельками, пришлось целых 1,7 миллиарда долларов, а фишинговые атаки дополнительно привели к убыткам в 410 миллионов долларов. Хотя общая ситуация с безопасностью в октябре улучшилась — данные PeckShield показывают, что в этом месяце произошло всего 15 инцидентов с безопасностью, общие убытки составили 18,18 миллиона долларов, что является самым низким уровнем за год — угроза браузерных расширений продолжает расти.

Стратегия защиты пользователей и рекомендации по смягчению рисков

С учетом все более сложных угроз со стороны расширений браузера, пользователи Solana и другие участники криптовалютного рынка должны создать многоуровневую систему защиты. Основной принцип заключается в тщательном рассмотрении запросов на разрешение расширений, особенно тех, которые требуют доступа ко всем данным сайтов или ввода конфиденциальной информации. Перед установкой необходимо проверить личность разработчика, ознакомиться с отзывами пользователей и историей обновлений, а также проявлять особую осторожность к новым инструментам, которые еще не зарекомендовали себя.

Оптимизация торговых привычек также имеет ключевое значение. Пользователи должны внимательно проверять полные детали сделки в окне подтверждения кошелька перед выполнением каждой транзакции, а не полагаться только на общий обзор. Для пользователей экосистемы Solana стоит рассмотреть возможность использования кошельков, поддерживающих парсинг торговых команд, которые могут разбивать сложные команды на более понятные составляющие, помогая выявлять аномальные операции.

С технической точки зрения регулярная проверка установленных расширений браузера и своевременное удаление ненужных или подозрительных компонентов являются эффективными мерами профилактики. Использование специализированного браузера для криптовалютных операций, изолируя его от повседневной активности в сети, также может значительно снизить риск. Аппаратный Кошелек, хотя и не может полностью предотвратить такие атаки, обеспечивает дополнительный уровень безопасности для крупных активов и ограничивает потенциальный масштаб потерь.

Срочная необходимость в ответственности платформы и сотрудничестве в отрасли

Неэффективность механизма проверки в магазине приложений Chrome проявилась в этом инциденте. Расширение Crypto Copilot смогло работать почти полгода с июня без перерыва, что отражает технические недостатки платформы в области обнаружения вредоносного кода. Хотя команда Socket подала запрос на делистинг, задержка со стороны Google может привести к тому, что больше пользователей пострадают, и такая скорость реакции серьезно не соответствует требованиям безопасности криптоиндустрии.

С точки зрения саморегулирования в отрасли, поставщики кошельков должны взять на себя больше образовательной ответственности. Улучшение способа отображения информации на интерфейсе подтверждения транзакции и предоставление более наглядных предупреждений о рисках могут помочь пользователям лучше распознавать аномальные транзакции. Такие мейнстримовые кошельки, как Phantom, уже начали исследовать функцию симуляции транзакций, показывая пользователям ожидаемые результаты транзакций перед подписанием; эта функция особенно эффективна для выявления скрытых команд.

Регуляторная координация также является важным элементом в борьбе с угрозами расширения. Финансовым регуляторам всех стран следует усилить контроль за рынком браузерных расширений и создать механизм быстрого информирования с платформами. В то же время, правоохранительные органы должны повысить свои технические возможности для отслеживания средств в цепочке, чтобы в случае обнаружения злонамеренных расширений можно было быстро заморозить вовлеченные средства и создать возможность для возмещения убытков пострадавшим.

Эволюция угроз безопасности и строительство экосистемы защиты

Событие Crypto Copilot является не только независимым предупреждением о безопасности, но и последним примером постоянной эволюции угроз браузерных расширений. С ускорением процесса мейнстримизации криптоиндустрии уровень технической сложности атакующих также постоянно повышается — от простых фишинговых сайтов до сложного кодового затенения, защитникам необходимо обновлять свои стратегии реагирования с такой же скоростью. Для обычных пользователей формирование осознания безопасности и осторожных привычек является наиболее эффективным защитным щитом; для участников отрасли создание совместной системы обмена информацией о угрозах и механизмов быстрого реагирования является основой для обеспечения здорового развития экосистемы. В обозримом будущем браузерные расширения по-прежнему будут важной уязвимой точкой для атакующих, и только через троичное усилие — образование пользователей, технические улучшения и сотрудничество с регуляторами — можно занять проактивную позицию в этой продолжающейся войне безопасности.