Остерігайтеся нових шкідливих розширень! Crypto Copilot краде 0,05% активів кожної транзакції користувачів Solana.

Команда дослідження загроз Socket нещодавно виявила, що розширення Chrome під назвою Crypto Copilot, яке з'явилося в червні 2024 року, продовжує красти кошти у трейдерів Solana. Це розширення таємно додає додаткові команди до кожної угоди обміну Raydium, переміщаючи щонайменше 0.0013 SOL або 0.05% від обсягу угоди до гаманця, контрольованого зловмисником. Наразі це розширення все ще працює в онлайн-магазині додатків Chrome, дослідники подали запит на делістинг до Google, але поки що не отримали підтвердження обробки.

Глибокий аналіз механізму роботи шкідливого коду

Розширення Crypto Copilot приховує свою зловмисну поведінку за допомогою сильно заплутаного JavaScript коду, створюючи два послідовні інструкції під час виконання звичайної операції обміну Raydium користувачем. На поверхні розширення генерує стандартну інструкцію обміну, але насправді потім буде додана друга інструкція трансферу, яка переведе кошти користувача на гаманець з адресою Bjeida атаки. Ця ретельно розроблена структура з двох інструкцій дозволяє користувачеві бачити лише законну операцію обміну на інтерфейсі, тоді як більшість вікон підтвердження гаманця показують лише загальний огляд транзакції, а не повний список інструкцій.

! Зловмисне програмне забезпечення Crypto Copilot

（Джерело: Socket）

Логіка стягнення зборів для цього розширення повністю зашита в програмному забезпеченні, використовуючи принцип вибору між мінімальним збором та процентним збором. Зокрема, кожна транзакція принаймні краде 0.0013 SOL, а коли сума транзакції перевищує 2.6 SOL, то стягується 0.05% від суми. Такий сходовий дизайн забезпечує базовий дохід для малих транзакцій і гарантує вищий прибуток для великих транзакцій, демонструючи тонкий розрахунок зловмисника на максимізацію прибутку.

Дослідники виявили, що розширення також приховує шкідливу діяльність за допомогою перейменування змінних і активного мінімізаційного стиснення, адреса гаманця зловмисника глибоко закопана під незначними мітками змінних в пакеті коду. Окрім функції крадіжки коштів, розширення регулярно надсилає ідентифікатори гаманців і активні дані на сервер, який називається crypto-coplilot-dashboard.vercel.app, цей помилковий домен наразі лише відображає порожню сторінку заміщення, що відображає грубість інфраструктури зловмисника.

Зловмисні характеристики розширення технологій та зведення даних

Метод атаки

• Цільова мережа: Solana
• Об'єкт атаки: користувачі торгівлі Raydium
• Коефіцієнт крадіжки: 0.05% або мінімум 0.0013 SOL
• Приховані методи: додавання торгових команд, обфускація коду

Технічні деталі

• Використання захардкоженого API ключа Helius для симуляції торгівлі
• Підключення до бекенду неправильного домену
• Сховати шкідливий код шляхом перейменування змінних

Впливова область

• Час запуску: червень 2024 року
• Поточний стан: Магазин Chrome все ще доступний для завантаження
• Витік даних: Гаманець ідентифікатор та дані транзакції

Галузевий контекст і тенденції атак на розширення браузера

У 2025 році розширення для браузера стали одним із найпостійніших засобів криптографічних атак, і ця тенденція була підтверджена в аналізі, опублікованому командою Socket у звіті Crypto Copilot. Оглядаючи безпекові інциденти за липень, було виявлено понад 40 шкідливих розширень для Firefox, які видавали себе за основних постачальників гаманців, включаючи MetaMask, Coinbase, Phantom, OKX та Trust Wallet. Ці підроблені розширення безпосередньо отримують облікові дані гаманця з браузера користувача та передають їх на сервери, контрольовані зловмисниками.

Реакція бірж на подібні загрози стає все швидшою. OKX після виявлення підроблених плагінів, що видають себе за офіційні інструменти гаманця, опублікував попередження та подав скаргу до відповідних органів. Така проактивна реакція відображає зростаюче усвідомлення у галузі небезпеки атак через розширення браузера, але прогалини в механізмі перевірки розширень все ще дозволяють зловмисним програмам діяти.

З точки зору обсягу збитків, дані CertiK показують, що в першій половині 2025 року з крадених 2,2 мільярда доларів, на вразливості, пов'язані з гаманцями, припадало 1,7 мільярда доларів, а фішингові атаки заподіяли додаткові збитки в розмірі 410 мільйонів доларів. Незважаючи на те, що загальна ситуація з безпекою покращилася в жовтні — дані PeckShield показують, що в тому місяці сталося лише 15 випадків порушення безпеки з загальними збитками 18,18 мільйона доларів, що стало найнижчим рівнем за рік — загроза браузерних розширень продовжує зростати.

Стратегії захисту користувачів та рекомендації щодо пом'якшення ризиків

Стикаючись із дедалі складнішими загрозами розширень браузера, користувачі Solana та інші учасники криптоіндустрії повинні створити багаторівневу систему захисту. Перший принцип - уважно перевіряти запити на дозволи розширення, особливо ті, що вимагають доступу до всіх даних веб-сайтів або введення чутливої інформації. Перед установкою слід перевірити особу розробника, переглянути відгуки користувачів та історію оновлень, а також бути особливо обережними з новими інструментами, які не мають накопиченої репутації.

Оптимізація торгових звичок також є ключовою. Користувачі повинні уважно перевіряти повні деталі транзакції у вікні підтвердження гаманця перед виконанням кожної транзакції, а не покладатися лише на розширене резюме. Для користувачів екосистеми Solana варто розглянути можливість використання гаманців, які підтримують розшифровку торгових команд, ці інструменти можуть розбивати складні торгові команди на більш зрозумілі складові, допомагаючи виявляти аномальні операції.

З технічного боку, регулярний перегляд встановлених розширень браузера та своєчасне видалення непотрібних або підозрілих компонентів є ефективним запобіжним заходом. Використання спеціалізованого браузера для криптовалютних операцій, ізолуючи його від повсякденної активності в мережі, також може значно знизити ризик. Апарати для зберігання криптовалют, хоч і не можуть повністю запобігти таким атакам, проте можуть забезпечити додатковий рівень безпеки для великих активів, обмежуючи потенційні збитки.

Нагальна потреба у відповідальності платформи та співпраці в галузі

Недостатність механізму перевірки в магазині Chrome стала очевидною під час цього інциденту. Розширення Crypto Copilot змогло безперервно працювати майже півроку з червня, не зазнаючи перерв, що свідчить про технологічні недоліки платформи в області виявлення шкідливого коду. Хоча команда Socket подала запит на делістинг, затримка в обробці з боку Google може призвести до того, що більше користувачів постраждає, і така швидкість реагування серйозно не відповідає вимогам безпеки криптоіндустрії.

З точки зору саморегулювання в галузі, постачальники гаманець повинні брати на себе більше відповідальності за освіту. Покращуючи спосіб відображення інформації на екрані підтвердження транзакції, надаючи більш наочні ризикові попередження, можна допомогти користувачам краще розпізнавати аномальні транзакції. Такі основні гаманці, як Phantom, вже почали вивчати функцію симуляції транзакцій, показуючи користувачам очікувані результати перед підписанням, ця функція особливо ефективна для виявлення прихованих інструкцій.

Регуляторна координація також є важливим етапом у боротьбі з загрозами розширення. Фінансові регуляторні органи країн повинні посилити нагляд за ринком розширень браузерів, встановити швидкий механізм сповіщення з платформами. Водночас, правоохоронні органи повинні покращити свої технічні можливості для відстеження коштів на блокчейні, щоб мати можливість швидко заморожувати кошти, пов'язані з виявленими зловмисними розширеннями, створюючи можливість для відшкодування втрат постраждалим.

Еволюція загроз безпеці та побудова екологічної системи захисту

Подія Crypto Copilot є не лише окремим безпековим попередженням, а й останнім прикладом безперервної еволюції загроз браузерних розширень. З прискоренням процесу масового впровадження криптоіндустрії, технічна майстерність зловмисників також постійно зростає — від простих фішингових сайтів до складного обфускації коду, захисникам потрібно оновлювати свої стратегії з такою ж швидкістю. Для звичайних користувачів виховання свідомості щодо безпеки та обережних звичок є найефективнішим щитом захисту; для учасників індустрії створення спільної розвідки загроз та механізмів швидкого реагування є основою забезпечення здорового розвитку екосистеми. У передбачуваному майбутньому браузерні розширення залишатимуться важливими точками прориву для зловмисників, і тільки завдяки трьом зусиллям — освіті користувачів, покращенню технологій та співпраці регуляторів — можна буде зайняти активну позицію в цій безперервній війні безпеки.