Edgen Crypto·Nov 27 2025, 14:23一个名为 Crypto Copilot 的恶意 Google Chrome 扩展程序正在通过在 Raydium 去中心化交易所执行的交易中注入隐藏转账,秘密窃取 Solana 用户的资金。网络安全公司 Socket 发现,该扩展程序通过在掉期交易中抽取小部分资产来破坏用户安全。
一个恶意 Google Chrome 扩展程序,以 Crypto Copilot 为名进行宣传,已被确认为针对 Solana 生态系统参与者的复杂盗窃活动的来源。该扩展程序声称能促进从社交媒体动态进行即时交易,但却秘密地在用户发起的 Raydium 去中心化交易所的掉期交易中注入额外的转账指令。这种未经授权的行为将交易价值的一部分转移到攻击者控制的钱包。该方案由网络安全公司 Socket 的威胁研究团队发现,凸显了使用基于浏览器的工具进行 DeFi 活动的交易者面临的重大安全风险。
Crypto Copilot 扩展程序于 2024 年 6 月 18 日发布到 Chrome 网上应用店,通过在用户批准时操纵链上交易来运作。虽然用户在 Raydium 上看到的是执行掉期交易的标准界面,但该扩展程序的底层代码会修改交易数据。具体而言,它会附加一个额外的指令,将用户资产的一部分转移到硬编码的攻击者地址。
每笔交易的财务影响设计得非常微妙,最低为 0.0013 SOL 或交易总价值的 0.05%,以较高者为准。这种“低慢”方法旨在避免用户立即发现。这种攻击方式尤其具有欺骗性,因为它不需要直接危及用户的私钥;相反,它利用授予浏览器扩展程序的权限来更改其处理的交易。
此事件对 Solana 生态系统和更广泛的 DeFi 领域都带来了负面影响。它侵蚀了用户对生态系统中作为用户界面的第三方应用程序的信任,而不是对底层区块链协议本身的信任。像 Raydium 这样的去中心化交易所可能会面临用户信心下降的问题,因为交易者对他们用于与平台交互的工具变得更加谨慎。
这一发现可能会促使用户采取更严格的安全措施,例如仔细审查授予浏览器扩展程序的权限,并使用专用、安全的环境执行交易。对于市场而言,它提醒人们交易安全是一个多层次的问题,其范围超出了区块链本身,还包括钱包、界面和第三方软件。未能解决这些漏洞可能会增加参与 DeFi 协议的感知风险,从而阻碍主流采用。
此次安全漏洞首先由 Socket 的威胁研究团队 发现并详细说明。根据他们的发现,该扩展程序明确设计为专门针对 Solana 交易者。
“在界面背后,该扩展程序在每次 Solana 掉期交易中注入了一个额外的转账,将至少 0.0013 SOL 或交易金额的 0.05% 转移到硬编码的攻击者控制的钱包,”Socket 研究人员的一份报告指出。
他们的分析证实,该扩展程序通过利用用户对此类交易工具的信任,成功操纵了 Solana 上流行的自动做市商 (AMM) Raydium 上的掉期交易。
此次攻击是 Web3 中一类日益增长的安全威胁的典型代表,这类威胁针对的是面向用户的应用程序,而非核心基础设施。与大规模协议漏洞不同,这些攻击侧重于通过欺骗手段危害单个用户,这种策略有时被称为“交易投毒”。将浏览器扩展程序作为攻击载体是一种常见策略,因为它们通常需要广泛的权限才能运行,从而为恶意代码创造了潜在的入口。此事件强调了对基于浏览器的加密管理工具进行全面安全审计和用户教育的迫切需要。它重申了这样一个原则:去中心化系统中的每个组件,从用户界面到智能合约,都可能是一个潜在的故障点。