Waspadai ekstensi jahat baru! Crypto Copilot mencuri 0,05% aset dari setiap transaksi pengguna Solana.

Tim penelitian ancaman Socket baru-baru ini menemukan bahwa sebuah ekstensi Chrome bernama Crypto Copilot sejak diluncurkan pada Juni 2024, terus mencuri dana para trader Solana. Ekstensi ini secara diam-diam menambahkan instruksi tambahan pada setiap transaksi penukaran Raydium, memindahkan setidaknya 0.0013 SOL atau 0.05% dari jumlah transaksi ke dompet yang dikendalikan oleh penyerang. Saat ini, ekstensi tersebut masih beroperasi secara online di toko aplikasi Chrome, dan para peneliti telah mengajukan permintaan delisting kepada Google tetapi belum mendapatkan konfirmasi pemrosesan.

Analisis Mendalam Mekanisme Operasi Kode Berbahaya

Ekstensi Crypto Copilot menyembunyikan perilaku jahatnya melalui kode JavaScript yang sangat teracak, dengan membuat dua instruksi berurutan saat pengguna melakukan operasi pertukaran Raydium yang normal. Secara permukaan, ekstensi ini menghasilkan instruksi pertukaran standar, tetapi sebenarnya kemudian akan melampirkan instruksi transfer kedua, yang mengalihkan dana pengguna ke dompet penyerang dengan alamat Bjeida. Struktur dua instruksi yang dirancang dengan cermat ini membuat pengguna hanya dapat melihat operasi pertukaran yang sah di antarmuka, sementara sebagian besar jendela konfirmasi dompet hanya menampilkan ringkasan tinggi transaksi dan bukan daftar instruksi lengkap.

（Sumber：Socket）

Logika biaya ekstensi ini sepenuhnya dikodekan dalam program, menggunakan prinsip mana yang lebih tinggi antara biaya minimum dan biaya persentase. Secara spesifik, setiap transaksi setidaknya mencuri 0.0013 SOL, dan ketika jumlah transaksi melebihi 2.6 SOL, dana akan dipotong sebesar 0.05%. Desain bertingkat ini tidak hanya menjamin keuntungan dasar dalam transaksi kecil, tetapi juga memastikan bahwa transaksi besar dapat menghasilkan keuntungan yang lebih tinggi, menunjukkan pertimbangan mendetail penyerang untuk memaksimalkan keuntungan.

Peneliti menemukan bahwa ekstensi juga menyembunyikan perilaku jahat melalui penggantian nama variabel dan kompresi minimisasi yang aktif, alamat dompet penyerang terkubur dalam label variabel yang tidak relevan dalam paket kode. Selain fungsi pencurian dana, ekstensi ini juga secara teratur mengirimkan pengidentifikasi dompet yang terhubung dan data aktivitas ke backend bernama crypto-coplilot-dashboard.vercel.app, nama domain yang salah eja ini saat ini hanya menampilkan halaman placeholder kosong, mencerminkan kekasaran infrastruktur penyerang.

Fitur dan Data Ringkasan Ekstensi Jahat

Metode Serangan

• Jaringan tujuan: Solana
• Target serangan: pengguna transaksi Raydium
• Rasio pencurian: 0,05% atau minimum 0,0013 SOL
• Metode Tersembunyi: Penambahan Perintah Transaksi, Pengacakan Kode

Detail Teknis

• Menggunakan kunci API Helius yang dikodekan keras untuk simulasi perdagangan
• Menghubungkan ke backend domain yang salah eja
• Menyembunyikan kode berbahaya melalui penggantian nama variabel

Ruang Lingkup

• Waktu peluncuran: Juni 2024
• Status saat ini: Masih dapat diunduh dari Toko Chrome
• Kebocoran data: Dompet pengidentifikasi dan data transaksi

Latar Belakang dan Tren Serangan Ekstensi Browser

Pada tahun 2025, ekstensi browser telah menjadi salah satu vektor serangan crypto yang paling persisten, dan tren ini semakin diperkuat ketika tim Socket merilis laporan analisis Crypto Copilot. Mengingat peristiwa keamanan di bulan Juli, lebih dari 40 ekstensi Firefox jahat ditemukan berpura-pura sebagai penyedia dompet mainstream, termasuk MetaMask, Coinbase, Phantom, OKX, dan Trust Wallet. Ekstensi palsu ini secara langsung mengambil kredensial dompet dari browser pengguna dan mentransfernya ke server yang dikuasai penyerang.

Bursa semakin cepat merespons ancaman semacam ini. OKX mengeluarkan peringatan publik dan mengajukan keluhan kepada pihak berwenang setelah menemukan plugin palsu yang menyamar sebagai alat dompet resmi. Tanggapan proaktif ini mencerminkan peningkatan kesadaran industri terhadap bahaya serangan ekstensi browser, tetapi celah dalam mekanisme peninjauan ekstensi masih memungkinkan program jahat untuk beroperasi.

Dari segi skala kerugian, data CertiK menunjukkan bahwa dari 2,2 miliar dolar yang dicuri pada paruh pertama tahun 2025, kerentanan terkait Dompet menyumbang hingga 1,7 miliar dolar, sementara insiden phishing menyebabkan kerugian tambahan sebesar 410 juta dolar. Meskipun situasi keamanan secara keseluruhan membaik pada bulan Oktober — catatan PeckShield menunjukkan hanya terjadi 15 insiden keamanan pada bulan itu, dengan total kerugian 18,18 juta dolar, mencatat level terendah tahunan — ancaman ekstensi browser justru menunjukkan tren peningkatan.

Strategi Perlindungan Pengguna dan Saran Mitigasi Risiko

Menghadapi ancaman ekstensi browser yang semakin kompleks, pengguna Solana dan peserta kripto lainnya perlu membangun sistem perlindungan berlapis. Prinsip utama adalah dengan cermat memeriksa permintaan izin ekstensi, terutama yang meminta akses ke semua data situs web atau memasukkan informasi sensitif. Sebelum menginstal, verifikasi identitas pengembang, periksa ulasan pengguna dan riwayat pembaruan, dan tetap waspada terhadap alat baru yang kurang memiliki reputasi.

Optimasi kebiasaan perdagangan juga sangat penting. Pengguna harus memeriksa dengan cermat detail transaksi lengkap dalam jendela konfirmasi dompet sebelum melaksanakan setiap transaksi, bukan hanya mengandalkan ringkasan tingkat tinggi. Untuk pengguna ekosistem Solana, dapat mempertimbangkan untuk menggunakan dompet yang mendukung analisis instruksi perdagangan, yang dapat memecah instruksi perdagangan yang kompleks menjadi bagian-bagian yang lebih mudah dipahami, membantu mengidentifikasi operasi yang tidak biasa.

Dari sudut pandang perlindungan teknis, secara berkala memeriksa ekstensi browser yang telah diinstal dan segera menghapus komponen yang tidak perlu atau mencurigakan adalah langkah pencegahan yang efektif. Menggunakan browser khusus untuk operasi kripto, terpisah dari aktivitas browsing sehari-hari, juga dapat secara signifikan mengurangi paparan risiko. Dompet perangkat keras meskipun tidak dapat sepenuhnya mencegah serangan semacam itu, dapat memberikan lapisan keamanan tambahan untuk aset besar, membatasi skala kerugian potensial.

Kebutuhan Mendesak untuk Tanggung Jawab Platform dan Kolaborasi Industri

Kegagalan mekanisme peninjauan di Toko Aplikasi Chrome terungkap dalam peristiwa ini. Ekstensi Crypto Copilot telah beroperasi hampir enam bulan tanpa terputus sejak bulan Juni, mencerminkan kekurangan teknis platform dalam mendeteksi kode jahat. Meskipun tim Socket telah mengajukan permintaan delisting, keterlambatan penanganan Google dapat menyebabkan lebih banyak pengguna menjadi korban, kecepatan respons semacam ini sangat tidak sesuai dengan kebutuhan keamanan di industri kripto.

Dari sudut pandang disiplin industri, penyedia dompet perlu mengambil lebih banyak tanggung jawab dalam edukasi. Dengan memperbaiki cara informasi ditampilkan di antarmuka konfirmasi transaksi, memberikan peringatan risiko yang lebih intuitif dapat membantu pengguna lebih baik dalam mengidentifikasi transaksi yang tidak biasa. Dompet utama seperti Phantom telah mulai mengeksplorasi fungsi simulasi transaksi, yang menunjukkan hasil yang diharapkan kepada pengguna sebelum menandatangani, fitur ini sangat efektif dalam mendeteksi instruksi tersembunyi.

Koordinasi regulasi juga merupakan bagian penting dalam menghadapi ancaman perluasan. Otoritas regulasi keuangan di berbagai negara harus memperkuat pengawasan terhadap pasar ekstensi browser, serta membangun mekanisme pelaporan cepat dengan pihak platform. Sementara itu, lembaga penegak hukum perlu meningkatkan kemampuan teknis dalam pelacakan dana di blockchain, agar dapat dengan cepat membekukan dana yang terlibat ketika menemukan ekstensi jahat, menciptakan kemungkinan untuk memulihkan kerugian bagi korban.

Evolusi Ancaman Keamanan dan Pembangunan Sistem Pertahanan Ekologi

Peristiwa Crypto Copilot bukan hanya merupakan peringatan keamanan yang independen, tetapi juga merupakan contoh terbaru dari evolusi ancaman ekstensi browser yang terus berkembang. Seiring dengan percepatan proses mainstreaming industri kripto, tingkat keahlian penyerang juga terus meningkat, dari situs phishing sederhana hingga pengaburan kode yang kompleks, pihak pertahanan perlu meningkatkan strategi respons mereka dengan kecepatan yang sama. Bagi pengguna biasa, membangun kesadaran keamanan dan kebiasaan berhati-hati adalah perisai perlindungan yang paling efektif; bagi para pelaku industri, membangun intelijen ancaman yang dibagikan dan mekanisme respons cepat adalah dasar untuk memastikan perkembangan ekosistem yang sehat. Dalam waktu dekat, ekstensi browser akan tetap menjadi titik terobosan penting bagi penyerang, hanya melalui pendidikan pengguna, perbaikan teknis, dan kolaborasi regulasi yang tiga kali lipat, kita dapat mengambil inisiatif dalam perang pertahanan keamanan yang terus berlanjut ini.