Mercados
Compartilhe este artigo

Traders da Solana Sofrem Ataque de Malware no Navegador que Roubou Cada Swap por Meses

As interfaces das carteiras geralmente resumem as instruções como uma única troca, e a transação agrupada é executada de forma atômica—o que significa que os usuários aprovam ambos sem perceber.

Por Shaurya Malwa|Editado por Omkar Godbole
Atualizado 28 de nov. de 2025, 5:32 a.m. Publicado 28 de nov. de 2025, 5:03 a.m. Traduzido por IA
(Clint Patterson/Unsplash/modified by CoinDesk)

O que saber:

  • Uma extensão do Chrome chamada 'Crypto Copilot' redirecionava secretamente as taxas de negociações em Solana para a carteira de um atacante.
  • A extensão, sinalizada pela empresa de cibersegurança Socket, estava disponível na Chrome Web Store desde junho.
  • Os usuários são aconselhados a evitar extensões de código fechado com privilégios de assinatura e a transferir seus ativos caso tenham utilizado o Crypto Copilot.

Uma extensão do Chrome, que se apresentava como um assistente de trading para Solana, desviou silenciosamente taxas das trocas dos usuários por meses, utilizando uma lógica de transação ofuscada para direcionar uma parte de cada operação para uma carteira controlada pelo atacante.

Sinalizado pela empresa de cibersegurança Socket no início desta semana, a extensão ‘Crypto Copilot’ estava disponível na Chrome Web Store desde junho como uma ferramenta de conveniência para traders na popular DEX Raydium da Solana.

A História Continua abaixo
Não perca outra história.Inscreva-se na Newsletter Crypto Daybook Americas hoje. Ver Todas as Newsletters
By signing up, you will receive emails about CoinDesk products and you agree to our terms & conditions and política de privacidade.

No entanto, a Socket descobriu que inseriu uma segunda instrução em toda troca da Raydium — transferindo 0,0013 SOL ou 0,05% do valor da negociação para uma carteira codificada.

A exploração baseou-se em um mecanismo simples de geração da instrução correta de swap da Raydium, seguida da adição de uma transferência oculta.

Isso funcionou porque as interfaces de carteira normalmente resumem as instruções como uma única troca, e a transação agrupada é executada de forma atômica — o que significa que os usuários acabam aprovando ambos sem perceber. Imagine pedir um hambúrguer por meio de um aplicativo de fast-food onde o botão "confirmar pedido" realmente agrupa o pagamento, a impressão do recibo e a entrega do alimento e do troco — tudo em um único movimento contínuo.

Os fluxos on-chain sugerem uma adoção limitada até o momento, com apenas pequenas quantias coletadas pelo atacante. Mas o mecanismo escala com o tamanho: negociações acima de aproximadamente 2,6 SOL acionam a taxa de 0,05%, o que significa que uma troca de 100 SOL desviaria 0,05 SOL, ou cerca de US$ 10 aos preços atuais.

Vários outros sinais indicam uma infraestrutura montada às pressas. O domínio principal da extensão, cryptocopilot[.]app, está estacionado na GoDaddy, enquanto seu backend — crypto-coplilot-dashboard[.]vercel[.]app, com um erro de ortografia — exibe uma página em branco apesar de coletar metadados da carteira.

A Socket informou que enviou uma solicitação formal de remoção ao Google, embora a extensão permanecesse ativa no momento da redação. A empresa alertou os usuários para evitarem extensões de código fechado que solicitam privilégios de assinatura e para migrarem seus ativos para novas carteiras caso tenham interagido com o Crypto Copilot.

HackSolana News