Executive Summary
Một tiện ích mở rộng Google Chrome độc hại, được quảng bá là Crypto Copilot, đã được xác định là nguồn gốc của một chiến dịch trộm cắp tinh vi nhắm vào những người tham gia hệ sinh thái Solana. Tiện ích mở rộng này, tự nhận là tạo điều kiện giao dịch tức thì từ các nguồn cấp dữ liệu mạng xã hội, bí mật chèn một lệnh chuyển khoản bổ sung vào các giao dịch hoán đổi do người dùng khởi xướng trên sàn giao dịch phi tập trung Raydium. Hành động trái phép này đã rút một phần trăm giá trị giao dịch vào một ví do kẻ tấn công kiểm soát. Kế hoạch này đã được nhóm nghiên cứu mối đe dọa của công ty an ninh mạng Socket phát hiện, làm nổi bật nguy cơ bảo mật đáng kể đối với các nhà giao dịch sử dụng các công cụ dựa trên trình duyệt cho các hoạt động DeFi.
The Event in Detail
Tiện ích mở rộng Crypto Copilot, được xuất bản lên Chrome Web Store vào ngày 18 tháng 6 năm 2024, hoạt động bằng cách thao túng các giao dịch on-chain tại thời điểm người dùng phê duyệt. Trong khi người dùng thấy giao diện tiêu chuẩn để thực hiện hoán đổi trên Raydium, mã cơ bản của tiện ích mở rộng lại sửa đổi dữ liệu giao dịch. Cụ thể, nó thêm một lệnh bổ sung chuyển một phần tài sản của người dùng đến một địa chỉ kẻ tấn công được mã hóa cứng.
Tác động tài chính trên mỗi giao dịch được thiết kế để tinh vi, với số tiền tối thiểu là 0.0013 SOL hoặc 0.05% tổng giá trị giao dịch, tùy theo số nào lớn hơn. Cách tiếp cận "chậm mà chắc" này nhằm tránh người dùng phát hiện ngay lập tức. Vectơ tấn công này đặc biệt lừa đảo vì nó không yêu cầu xâm phạm trực tiếp khóa riêng của người dùng; thay vào đó, nó tận dụng các quyền được cấp cho tiện ích mở rộng trình duyệt để thay đổi các giao dịch mà nó xử lý.
Market Implications
Sự cố này gây ra những tác động tiêu cực đối với hệ sinh thái Solana và không gian DeFi rộng lớn hơn. Nó làm xói mòn niềm tin của người dùng, không phải vào chính giao thức blockchain cơ bản, mà vào các ứng dụng của bên thứ ba tạo thành lớp giao diện người dùng của hệ sinh thái. Các sàn giao dịch phi tập trung như Raydium có thể chứng kiến sự sụt giảm niềm tin của người dùng, vì các nhà giao dịch trở nên cảnh giác hơn với các công cụ họ sử dụng để tương tác với nền tảng.
Phát hiện này có thể buộc người dùng phải áp dụng các thực tiễn bảo mật nghiêm ngặt hơn, chẳng hạn như xem xét kỹ lưỡng các quyền được cấp cho tiện ích mở rộng trình duyệt và sử dụng các môi trường chuyên dụng, an toàn để thực hiện giao dịch. Đối với thị trường, nó như một lời nhắc nhở rằng bảo mật giao dịch là một vấn đề đa lớp mở rộng ra ngoài blockchain để bao gồm ví, giao diện và phần mềm của bên thứ ba. Việc không giải quyết được những lỗ hổng này có thể cản trở việc áp dụng rộng rãi bằng cách nâng cao rủi ro nhận thức khi tham gia vào các giao thức DeFi.
Vi phạm bảo mật này lần đầu tiên được xác định và trình bày chi tiết bởi Nhóm nghiên cứu mối đe dọa của Socket. Theo phát hiện của họ, tiện ích mở rộng này được thiết kế rõ ràng để săn lùng các nhà giao dịch Solana.
"Đằng sau giao diện, tiện ích mở rộng chèn thêm một giao dịch chuyển tiền vào mỗi lần hoán đổi Solana, rút tối thiểu 0.0013 SOL hoặc 0.05% số tiền giao dịch vào một ví được kẻ tấn công kiểm soát mã hóa cứng," một báo cáo từ các nhà nghiên cứu của Socket nêu rõ.
Phân tích của họ xác nhận rằng tiện ích mở rộng đã thao túng thành công các giao dịch hoán đổi trên Raydium, một nhà tạo lập thị trường tự động (AMM) phổ biến trên Solana, bằng cách lợi dụng niềm tin mà người dùng đặt vào các công cụ giao dịch như vậy.
Broader Context
Cuộc tấn công này là biểu tượng của một loại mối đe dọa bảo mật ngày càng tăng trong Web3, nhắm vào các ứng dụng hướng tới người dùng thay vì cơ sở hạ tầng cốt lõi. Không giống như các cuộc khai thác giao thức quy mô lớn, các cuộc tấn công này tập trung vào việc xâm phạm người dùng cá nhân thông qua các phương tiện lừa đảo, một chiến thuật đôi khi được gọi là "đầu độc giao dịch". Việc sử dụng tiện ích mở rộng trình duyệt làm vectơ là một chiến lược phổ biến, vì chúng thường yêu cầu quyền rộng rãi để hoạt động, tạo ra một cổng tiềm năng cho mã độc hại. Sự kiện này nhấn mạnh nhu cầu cấp thiết về kiểm toán bảo mật toàn diện và giáo dục người dùng về các rủi ro liên quan đến các công cụ quản lý tiền điện tử dựa trên trình duyệt. Nó củng cố nguyên tắc rằng mọi thành phần trong một hệ thống phi tập trung, từ giao diện người dùng đến hợp đồng thông minh, đều là một điểm lỗi tiềm ẩn.
Edgen Crypto·Nov 27 2025, 14:23