Solana 交易者遭遇持续数月的浏览器恶意软件窃取每笔兑换

一款伪装成 Solana 交易助手的 Chrome 扩展程序暗中从用户的兑换中提取手续费长达数月，利用混淆的交易逻辑将每笔交易的一部分转移至攻击者控制的钱包。

被网络安全公司 Socket 标记本周早些时候, “加密副驾驶”扩展自六月以来已在 Chrome 网上应用店上线，作为流行 Solana 去中心化交易所 Raydium 交易者的便捷工具。

然而，Socket 发现它在每笔 Raydium 交易中注入了第二个指令——将 0.0013 SOL 或交易金额的 0.05% 转移到一个硬编码的钱包中。

该漏洞利用了生成正确的 Raydium 交换指令的简单机制，随后附加了一个隐藏的转账。

这之所以可行，是因为钱包界面通常将指令汇总为一次单一的交换操作，而捆绑的交易则原子性执行——这意味着用户在不知情的情况下同时批准了两项操作。试想通过快餐应用下单时，“确认订单”按钮实际上将支付、打印收据以及交付食物和找零整合为一个无缝的动作。

链上资金流显示迄今为止采用有限，攻击者仅收集了少量资金。但该机制随规模扩大：交易金额超过大约 2.6 SOL 时触发 0.05% 费用，意味着一次 100 SOL 的兑换将抽取 0.05 SOL，按当前价格约为 10 美元。

另有若干迹象表明，该基础设施是仓促组建的。该扩展程序的主域名 cryptocopilot[.]app 停放于 GoDaddy，而其后端——拼写错误的 crypto-coplilot-dashboard[.]vercel[.]app——尽管收集了钱包元数据，却返回一个空白页面。

Socket 表示已向谷歌提交了正式的下架请求，但截至发稿时该扩展程序仍在运行中。Socket 警告用户避免使用请求签名权限的闭源扩展程序，并建议如果曾与 Crypto Copilot 进行互动，应将资产迁移至新的钱包。