Alerte sur une nouvelle extension malveillante ! Crypto Copilot vole 0,05 % des actifs de chaque transaction des utilisateurs de Solana.

L'équipe de recherche sur les menaces de Socket a récemment découvert qu'une extension Chrome nommée Crypto Copilot, lancée en juin 2024, continue de voler les fonds des traders de Solana. Cette extension ajoute secrètement des instructions supplémentaires à chaque transaction d'échange Raydium, transférant au moins 0,0013 SOL ou 0,05 % du montant de la transaction vers un portefeuille contrôlé par l'attaquant. Actuellement, cette extension est toujours en ligne sur le magasin d'applications Chrome, et les chercheurs ont soumis une demande de delisting à Google, mais n'ont pas encore reçu de confirmation de traitement.

Analyse approfondie du mécanisme de fonctionnement des codes malveillants

L'extension Crypto Copilot dissimule ses activités malveillantes à travers un code JavaScript hautement obscurci, en construisant deux instructions consécutives lorsque l'utilisateur effectue une opération d'échange normale sur Raydium. En apparence, l'extension génère des instructions d'échange standard, mais en réalité, elle ajoute ensuite une seconde instruction de transfert, transférant les fonds de l'utilisateur vers le portefeuille de l'attaquant dont l'adresse est Bjeida. Cette structure à double instruction soigneusement conçue permet à l'utilisateur de ne voir que des opérations d'échange légitimes sur l'interface, tandis que la plupart des fenêtres de confirmation de portefeuille affichent également uniquement un résumé de haut niveau de la transaction et non la liste complète des instructions.

(Source : Socket)

La logique de tarification de cette extension est entièrement codée en dur dans le programme, adoptant le principe du tarif le plus bas ou du tarif proportionnel, selon celui qui est le plus élevé. Plus précisément, chaque transaction prélève au moins 0,0013 SOL, et lorsque le montant de la transaction dépasse 2,6 SOL, un prélèvement de 0,05 % est appliqué. Ce design en échelons garantit à la fois des revenus de base pour les petites transactions et la possibilité d'obtenir des bénéfices plus élevés pour les grandes transactions, montrant la réflexion approfondie de l'attaquant sur la maximisation des profits.

Les chercheurs ont découvert que l'extension cachait également des comportements malveillants par le biais de la renaming de variables et d'une compression minimale active, l'adresse du portefeuille de l'attaquant étant profondément enfouie sous des étiquettes de variables sans rapport dans le paquet de code. En plus de la fonctionnalité de vol de fonds, l'extension envoie régulièrement les identifiants de portefeuille connectés et les données d'activité à un backend nommé crypto-coplilot-dashboard.vercel.app, ce domaine mal orthographié affichant actuellement uniquement une page de remplissage vide, reflétant la rudesse de l'infrastructure de l'attaquant.

Caractéristiques techniques d'extension malveillante et synthèse des données

Méthode d'attaque

• Réseau cible : Solana
• Cible de l'attaque : utilisateurs de transactions Raydium
• Taux de vol : 0,05 % ou minimum 0,0013 SOL
• Moyens discrets : ajout d'instructions de transaction, obfuscation de code

Détails techniques

• Utiliser des clés API Helius codées en dur pour la simulation de transactions
• Connexion au backend de domaine mal orthographié
• Cacher le code malveillant en renommant les variables

Champ d'impact

• Date de lancement : juin 2024
• État actuel : toujours disponible en téléchargement sur le Chrome Store
• Fuite de données : identifiant du portefeuille et données de transaction

Contexte et tendances des attaques par extension de navigateur

D'ici 2025, les extensions de navigateur seront devenues l'un des vecteurs d'attaque cryptographique les plus persistants, une tendance qui a été confirmée par le rapport d'analyse publié par l'équipe Socket sur Crypto Copilot. En examinant les événements de sécurité de juillet, plus de 40 extensions Firefox malveillantes ont été découvertes se faisant passer pour des fournisseurs de portefeuilles grand public, y compris MetaMask, Coinbase, Phantom, OKX et Trust Wallet. Ces extensions contrefaites obtiennent directement les identifiants de portefeuille des utilisateurs depuis leur navigateur et les transmettent à des serveurs contrôlés par des attaquants.

Les échanges réagissent de plus en plus rapidement à ce type de menace. OKX a émis un avertissement public et a déposé une plainte auprès des autorités concernées après avoir découvert des plugins falsifiés imitant des outils de portefeuille officiels. Cette réponse proactive reflète une prise de conscience accrue de l'industrie sur la dangerosité des attaques par extensions de navigateur, mais les failles dans le mécanisme de vérification des extensions continuent de permettre aux programmes malveillants de prospérer.

En termes de pertes, les données de CertiK montrent que sur les 2,2 milliards de dollars dérobés au premier semestre 2025, les vulnérabilités liées aux portefeuilles représentent jusqu'à 1,7 milliard de dollars, tandis que les incidents de phishing ont causé des pertes supplémentaires de 410 millions de dollars. Bien que la situation de la sécurité se soit améliorée en octobre — les enregistrements de PeckShield montrent qu'il n'y a eu que 15 incidents de sécurité ce mois-là, avec des pertes totales de 18,18 millions de dollars, atteignant le niveau le plus bas de l'année — la menace des extensions de navigateur est en revanche en hausse.

Stratégies de protection des utilisateurs et recommandations pour atténuer les risques

Face à la menace croissante des extensions de navigateur, les utilisateurs de Solana et d'autres participants du crypto doivent établir un système de protection multicouche. Le principe fondamental est d'examiner attentivement les demandes d'autorisation des extensions, en particulier celles qui demandent l'accès à toutes les données des sites web ou l'entrée d'informations sensibles. Avant l'installation, il convient de vérifier l'identité du développeur, de consulter les avis des utilisateurs et l'historique des mises à jour, et de rester particulièrement vigilant vis-à-vis des outils émergents et peu reconnus.

L'optimisation des habitudes de trading est tout aussi cruciale. Les utilisateurs doivent vérifier attentivement les détails complets de la transaction dans la fenêtre de confirmation du portefeuille avant d'exécuter chaque transaction, et ne pas se fier uniquement au résumé avancé. Pour les utilisateurs de l'écosystème Solana, il peut être utile d'utiliser un portefeuille qui prend en charge l'analyse des instructions de transaction, ces outils pouvant décomposer des instructions de transaction complexes en éléments plus faciles à comprendre, aidant ainsi à identifier des opérations anormales.

D'un point de vue technique, il est efficace de revoir régulièrement les extensions de navigateur installées et de supprimer rapidement les composants inutiles ou suspects. Utiliser un navigateur spécialisé pour les opérations de cryptographie, isolé des activités de navigation quotidiennes, peut également réduire considérablement l'exposition au risque. Bien que le portefeuille matériel ne puisse pas complètement empêcher de telles attaques, il peut fournir une couche de sécurité supplémentaire pour les actifs de grande valeur, limitant ainsi l'ampleur des pertes potentielles.

Besoin urgent de responsabilité de la plateforme et de collaboration dans l'industrie

L'échec du mécanisme de vérification du Chrome Web Store a été clairement exposé lors de cet événement. L'extension Crypto Copilot a pu fonctionner sans interruption depuis juin pendant près de six mois, ce qui reflète les lacunes techniques de la plateforme en matière de détection de codes malveillants. Bien que l'équipe de Socket ait soumis une demande de delisting, le retard de traitement de Google pourrait entraîner davantage de victimes parmi les utilisateurs, cette lenteur de réponse étant gravement incompatible avec les exigences de sécurité du secteur de la cryptographie.

Du point de vue de l'autorégulation de l'industrie, les fournisseurs de portefeuilles doivent assumer une plus grande responsabilité en matière d'éducation. En améliorant la manière dont les informations sont présentées sur l'interface de confirmation des transactions et en fournissant des avertissements de risque plus intuitifs, cela peut aider les utilisateurs à mieux identifier les transactions anormales. Des portefeuilles grand public comme Phantom ont déjà commencé à explorer des fonctionnalités de simulation de transactions, montrant aux utilisateurs les résultats attendus des transactions avant la signature, cette caractéristique est particulièrement efficace pour détecter les instructions cachées.

La coordination de la réglementation est également un élément important pour faire face aux menaces d'expansion. Les autorités de régulation financière de chaque pays devraient renforcer la supervision du marché des extensions de navigateur et établir un mécanisme de notification rapide avec les plateformes. Parallèlement, les services d'application de la loi doivent améliorer leurs capacités techniques de traçage des fonds sur la chaîne, afin de pouvoir geler rapidement les fonds concernés en cas de découverte d'extensions malveillantes, créant ainsi des possibilités de récupération des pertes pour les victimes.

Évolution des menaces à la sécurité et construction d'un système de défense écologique

L'événement Crypto Copilot n'est pas seulement un avertissement de sécurité indépendant, mais il constitue également le dernier exemple de l'évolution continue des menaces liées aux extensions de navigateur. Avec l'accélération de la mainstreamisation de l'industrie de la cryptographie, la sophistication des techniques des attaquants s'améliore également constamment, passant de simples sites de phishing à des techniques de code obfusqué complexes. Les défenseurs doivent mettre à niveau leurs stratégies de réponse à la même vitesse. Pour les utilisateurs ordinaires, cultiver la conscience de la sécurité et des habitudes prudentes est le bouclier de protection le plus efficace ; pour les participants de l'industrie, la construction d'un partage des renseignements sur les menaces et d'un mécanisme de réponse rapide est la pierre angulaire pour garantir le développement sain de l'écosystème. Dans un avenir prévisible, les extensions de navigateur resteront un point d'entrée important pour les attaquants, et seul un effort combiné d'éducation des utilisateurs, d'amélioration technologique et de coopération réglementaire peut permettre de prendre l'initiative dans cette lutte continue pour la sécurité.