Edgen Crypto·Nov 27 2025, 14:23一個名為 Crypto Copilot 的惡意 Google Chrome 擴充功能正在透過在 Raydium 去中心化交易所執行的交易中注入隱藏轉帳,秘密竊取 Solana 用戶的資金。網路安全公司 Socket 發現,該擴充功能透過在掉期交易中抽取小部分資產來破壞用戶安全。
一個惡意 Google Chrome 擴充功能,以 Crypto Copilot 為名進行宣傳,已被確認為針對 Solana 生態系統參與者的複雜盜竊活動的來源。該擴充功能聲稱能促進從社交媒體動態進行即時交易,但卻秘密地在用戶發起的 Raydium 去中心化交易所的掉期交易中注入額外的轉帳指令。這種未經授權的行為將交易價值的一部分轉移到攻擊者控制的錢包。該方案由網路安全公司 Socket 的威脅研究團隊發現,凸顯了使用基於瀏覽器的工具進行 DeFi 活動的交易者面臨的重大安全風險。
Crypto Copilot 擴充功能於 2024 年 6 月 18 日發布到 Chrome 線上應用程式商店,透過在用戶批准時操縱鏈上交易來運作。雖然用戶在 Raydium 上看到的是執行掉期交易的標準介面,但該擴充功能的底層程式碼會修改交易數據。具體而言,它會附加一個額外的指令,將用戶資產的一部分轉移到硬編碼的攻擊者地址。
每筆交易的財務影響設計得非常微妙,最低為 0.0013 SOL 或交易總價值的 0.05%,以較高者為準。這種「低慢」方法旨在避免用戶立即發現。這種攻擊方式尤其具有欺騙性,因為它不需要直接危及用戶的私鑰;相反,它利用授予瀏覽器擴充功能的權限來更改其處理的交易。
此事件對 Solana 生態系統和更廣泛的 DeFi 領域都帶來了負面影響。它侵蝕了用戶對生態系統中作為用戶界面的第三方應用程式的信任,而不是對底層區塊鏈協議本身的信任。像 Raydium 這樣的去中心化交易所可能會面臨用戶信心下降的問題,因為交易者對他們用於與平台交互的工具變得更加謹慎。
這一發現可能會促使用戶採取更嚴格的安全措施,例如仔細審查授予瀏覽器擴充功能的權限,並使用專用、安全的環境執行交易。對於市場而言,它提醒人們交易安全是一個多層次的問題,其範圍超出了區塊鏈本身,還包括錢包、介面和第三方軟體。未能解決這些漏洞可能會增加參與 DeFi 協議的感知風險,從而阻礙主流採用。
此次安全漏洞首先由 Socket 的威脅研究團隊 發現並詳細說明。根據他們的發現,該擴充功能明確設計為專門針對 Solana 交易者。
「在介面背後,該擴充功能在每次 Solana 掉期交易中注入了一個額外的轉帳,將至少 0.0013 SOL 或交易金額的 0.05% 轉移到硬編碼的攻擊者控制的錢包,」Socket 研究人員的一份報告指出。
他們的分析證實,該擴充功能透過利用用戶對此類交易工具的信任,成功操縱了 Solana 上流行的自動做市商 (AMM) Raydium 上的掉期交易。
此次攻擊是 Web3 中一類日益增長的安全威脅的典型代表,這類威脅針對的是面向用戶的應用程式,而非核心基礎設施。與大規模協議漏洞不同,這些攻擊側重於透過欺騙手段危害單個用戶,這種策略有時被稱為「交易投毒」。將瀏覽器擴充功能作為攻擊載體是一種常見策略,因為它們通常需要廣泛的權限才能運行,從而為惡意程式碼創造了潛在的入口。此事件強調了對基於瀏覽器的加密管理工具進行全面安全審計和用戶教育的迫切需要。它重申了這樣一個原則:去中心化系統中的每個元件,從用戶介面到智慧合約,都可能是一個潛在的故障點。