Шкідливе розширення Chrome таємно siphonило комісії у трейдерів Solana протягом кількох місяців

Коротко

• Розширення Chrome Crypto Copilot таємно додає прихований переказ SOL до кожної угоди Raydium, siphoning fees до гаманця зловмисника.
• Платформа безпеки Socket виявила, що розширення використовує обфускований код і неправильно написаний, неактивний домен на бекенді, щоб маскувати свою діяльність.
• Випадки крадіжок в мережі поки що залишаються невеликими, але механізм масштабується зі збільшенням обсягу торгівлі, і розширення все ще доступне в Chrome Web Store.

Центр мистецтв, моди та розваг Decrypt.

Відкрийте SCENE

Розширення для Chrome, що рекламується як зручний торговий інструмент, таємно siphon'ило SOL з обмінів користувачів з червня минулого року, вставляючи приховані збори в кожну транзакцію, маскуючись під легітимного торгового асистента Solana.

Фірма кібербезпеки Socket виявила шкідливе розширення Crypto Copilot під час “безперервного моніторингу” магазину Chrome, повідомив інженер з безпеки та дослідник Куш Пандья в Decrypt.

🚨 Дослідники сокетів виявили шкідливе розширення Chrome, яке вводить приховані трансакції #SOL у свопах Raydium, тихо siphoning комісії на гаманець атакуючого.

Повний аналіз → #Solana

— Сокет (@SocketSecurity) 25 листопада 2025 року

У аналізі шкідливого розширення, опублікованому в середу, Пандья написав, що Crypto Copilot тихо додає додаткову інструкцію передачі до кожного обміну Solana, виводячи мінімум 0.0013 SOL або 0.05% від суми угоди на гаманець, що контролюється зловмисником.

“Наш AI-сканер виявив кілька показників: агресивне обфускацію коду, жорстко закодовану адресу Solana, вбудовану в логіку транзакції, та невідповідності між заявленою функціональністю розширення та фактичною поведінкою мережі,” сказав Пандья Decrypt, додавши, що “Ці сповіщення спровокували глибший ручний аналіз, який підтвердив механізм прихованого вилучення комісій.”

Дослідження вказує на ризики в криптоінструментах, що працюють у браузері, зокрема на розширення, які поєднують інтеграцію соціальних медіа з можливостями підписування транзакцій.

Згідно з доповіддю, розширення залишалося доступним у Chrome Web Store протягом кількох місяців, без жодного попередження для користувачів про невказані збори, заховані в сильно заплутаному коді.

“Поведінка збору комісій ніколи не розкривається в списку Chrome Web Store, а логіка, яка її реалізує, захована в сильно обфусцированому коді,” зазначив Пандя.

Кожного разу, коли користувач обмінює токени, розширення генерує правильну інструкцію обміну Raydium, але непомітно додає додатковий переказ, що направляє SOL на адресу зловмисника.

Raydium - це децентралізована біржа та автоматизований маркет-мейкер на базі Solana, тоді як “Raydium swap” просто відноситься до обміну одного токена на інший через його ліквідні пулі.

Користувачі, які встановили Crypto Copilot, вважаючи, що це спростить їхню торгівлю Solana, безвідома сплачували приховані збори з кожним обміном, збори, які ніколи не з'являлися в рекламних матеріалах розширення або в списку Chrome Web Store.

Інтерфейс показує лише деталі обміну, а спливаючі вікна гаманця підсумовують транзакцію, тому користувачі підписують те, що виглядає як один обмін, хоча обидва інструкції виконуються одночасно в блокчейні.

Гаманець нападника отримав лише невелику кількість коштів до сьогодні, що є ознакою того, що Crypto Copilot ще не досягнув багатьох користувачів, а не вказівкою на те, що експлуатація є малоризиковою, згідно з доповіддю.

Механізм збору комісії масштабується в залежності від розміру угоди: для свопів до 2.6 SOL діє мінімальна комісія 0.0013 SOL, а вище цього порогу застосовується відсоткова комісія 0.05%, що означає, що своп на 100 SOL візьме 0.05 SOL, приблизно $10 за поточними цінами.

Основний домен розширення cryptocopilot[.]app зареєстрований у реєстраторові доменів GoDaddy, тоді як бекенд на crypto-coplilot-dashboard[.]vercel[.]app, помітно з помилкою, відображає лише порожню сторінку-заповнювач, незважаючи на збір даних гаманців, йдеться у звіті.

Socket подав запит на видалення до команди безпеки Chrome Web Store Google, хоча розширення залишалося доступним на момент публікації.

Платформа закликала користувачів переглядати кожну інструкцію перед підписанням транзакцій, уникати закритих торгових розширень, що вимагають дозволів на підписання, та мігрувати активи до чистих гаманців, якщо вони встановили Crypto Copilot.

Шаблони шкідливого програмного забезпечення

Шкідливе ПЗ залишається зростаючою проблемою для користувачів криптовалют. У вересні був виявлений штам шкідливого ПЗ під назвою ModStealer, який націлений на криптогаманці на Windows, Linux та macOS через фальшиві оголошення рекрутерів, ухиляючись від виявлення основними антивірусними движками протягом майже місяця.

CTO Ledger Чарльз Гійомет раніше попереджав, що зловмисники отримали доступ до облікового запису розробника NPM, з шкідливим кодом, який намагався безшумно змінити адреси криптогаманець під час транзакцій через кілька блокчейнів.