Найти в Дзене
Aifory Pro
105 подписчиков

В Chrome обнаружили расширение, которое ворует SOL под видом трейдинга

2 мин
Эксперты из Socket предупредили о новом вредоносном расширении для Chrome, которое маскируется под удобный инструмент для трейдинга в X, но на деле ворует средства у пользователей Solana. Расширение под названием Crypto Copilot выглядело как обычный помощник для быстрого свопа токенов через Raydium и подключения кошельков вроде Phantom или Solflare. Однако исследователи обнаружили, что при каждом обмене расширение незаметно добавляет в транзакцию вторую инструкцию — маленький перевод SOL на заранее прописанный кошелёк злоумышленника. Для пользователя всё выглядит как обычный своп: дополнительная операция сливается с основной и — если не проверять детали вручную — остаётся незамеченной. Скрытая комиссия прописана прямо в коде расширения. Она взимается по минимальной ставке 0,0013 SOL или 0,05% от суммы сделки — какая бы оказалась выше. Из-за этого мелкие списания легко теряются на фоне активного трейдинга. Исследователи отметили и другие тревожные сигналы:
— расширение отправляет данн

Эксперты из Socket предупредили о новом вредоносном расширении для Chrome, которое маскируется под удобный инструмент для трейдинга в X, но на деле ворует средства у пользователей Solana. Расширение под названием Crypto Copilot выглядело как обычный помощник для быстрого свопа токенов через Raydium и подключения кошельков вроде Phantom или Solflare.

Однако исследователи обнаружили, что при каждом обмене расширение незаметно добавляет в транзакцию вторую инструкцию — маленький перевод SOL на заранее прописанный кошелёк злоумышленника. Для пользователя всё выглядит как обычный своп: дополнительная операция сливается с основной и — если не проверять детали вручную — остаётся незамеченной.

Скрытая комиссия прописана прямо в коде расширения. Она взимается по минимальной ставке 0,0013 SOL или 0,05% от суммы сделки — какая бы оказалась выше. Из-за этого мелкие списания легко теряются на фоне активного трейдинга.

Исследователи отметили и другие тревожные сигналы:

— расширение отправляет данные на подозрительный сервер с ошибкой в домене;

— сайт, указанный в профиле, фактически пустой;

— код максимально запутан, чтобы скрыть лишние инструкции.

Crypto Copilot использует реальные сервисы вроде DexScreener и Helius RPC — это создаёт видимость легитимности, но не меняет сути: каждая транзакция автоматически включает перевод средств на кошелёк злоумышленника.

Пока на этот адрес поступали относительно небольшие суммы — вероятно, из-за низкой популярности расширения. Но механизм легко масштабируется: чем активнее трейдер, тем больше он рискует потерять.

Socket предупредила, что подобные схемы могут появляться и в других браузерных расширениях:

— инструменты с доступом к подписи транзакций и интеграцией в соцсети особенно опасны;

— скрытые SystemProgram.transfer, обфускованный код и жёстко прописанные адреса — явный красный флаг;

— проекты без полноценного сайта и документации часто оказываются мошенническими.

Компания рекомендует:

• проверять каждую инструкцию перед подтверждением;

• не использовать закрытые расширения для трейдинга;

• удалить Crypto Copilot, перенести активы на новый кошелёк и отозвать разрешения.

Socket также опубликовала индикаторы компрометации: email, идентификатор расширения, адрес Solana-кошелька злоумышленника и домен crypto-coplilot-dashboard[.]vercel[.]app.

Ранее, напомним, через вредоносные расширения уже взламывали кошельки пользователей Solana — подобные случаи фиксировались и в 2023, и в 2024 годах.

Обменять криптовалюту на наличные прямо сейчас в Aifory Pro

Узнать о крипте еще больше