Cuidado com a nova extensão maliciosa! O Crypto Copilot rouba 0,05% dos ativos de cada transação dos usuários de Solana.

A equipe de pesquisa de ameaças do Socket descobriu recentemente que uma extensão do Chrome chamada Crypto Copilot, desde sua estreia em junho de 2024, tem continuado a roubar fundos de traders de Solana. A extensão secretamente anexa instruções adicionais a cada transação de troca Raydium, transferindo pelo menos 0.0013 SOL ou 0.05% do valor da transação para uma carteira controlada por atacantes. Atualmente, a extensão ainda está operando online na loja de aplicativos do Chrome, e os pesquisadores já solicitaram a exclusão à Google, mas ainda não receberam confirmação de processamento.

Análise profunda do mecanismo de operação de código malicioso

A extensão Crypto Copilot oculta seu comportamento malicioso por meio de um código JavaScript altamente ofuscado, construindo duas instruções consecutivas quando o usuário executa uma operação de troca normal no Raydium. Superficialmente, a extensão gera instruções de troca padrão, mas na verdade, uma segunda instrução de transferência é anexada posteriormente, transferindo os fundos do usuário para um endereço de carteira do atacante chamado Bjeida. Essa estrutura de dupla instrução cuidadosamente projetada permite que o usuário veja apenas a operação de troca legítima na interface, enquanto a maioria das janelas de confirmação de carteira exibe apenas um resumo de alto nível da transação, em vez de uma lista completa de instruções.

(Fonte: Socket)

A lógica de cobrança deste complemento é totalmente codificada internamente no programa, adotando o princípio de cobrança mínima ou percentual, o que for maior. Especificamente, cada transação rouba pelo menos 0.0013 SOL, e quando o valor da transação excede 2.6 SOL, é cobrada uma taxa de 0.05% sobre o montante. Este design em escadas garante a receita básica em transações de baixo valor, enquanto assegura que transações de alto valor possam obter maiores lucros, demonstrando a consideração meticulosa dos atacantes para maximizar os ganhos.

Os pesquisadores descobriram que a extensão também oculta comportamentos maliciosos através da renomeação de variáveis e da minificação agressiva. O endereço da carteira do atacante está enterrado sob etiquetas de variáveis irrelevantes no pacote de código. Além da funcionalidade de roubo de fundos, a extensão também envia regularmente o identificador da carteira conectada e dados de atividade para um backend chamado crypto-coplilot-dashboard.vercel.app, que atualmente exibe apenas uma página em branco, refletindo a rudimentar infraestrutura do atacante.

características de tecnologia de extensão maliciosa e resumo de dados

Método de ataque

• Rede alvo: Solana
• Alvo do ataque: usuários de negociação Raydium
• Taxa de roubo: 0,05% ou mínimo 0,0013 SOL
• Métodos ocultos: adição de ordens de negociação, ofuscação de código

Detalhes técnicos

• Usando a chave de API Helius codificada para simulação de transações
• Conectar ao backend de domínio com erro de ortografia
• Ocultar código malicioso através da renomeação de variáveis

Âmbito de impacto

• Data de lançamento: Junho de 2024
• Estado atual: ainda disponível para download na loja Chrome
• Vazamento de dados: identificador da Carteira e dados da transação

Contexto e tendências da indústria de ataques a extensões de navegador

Em 2025, as extensões de navegador tornaram-se um dos vetores de ataque de criptografia mais persistentes, uma tendência que foi ainda mais confirmada quando a equipe da Socket publicou o relatório de análise Crypto Copilot. Revisando os incidentes de segurança de julho, mais de 40 extensões maliciosas do Firefox foram descobertas se passando por provedores de carteiras populares, incluindo MetaMask, Coinbase, Phantom, OKX e Trust Wallet. Essas extensões fraudulentas obtêm diretamente as credenciais da carteira do navegador do usuário e as transmitem para servidores controlados pelos atacantes.

As reações das exchanges a esse tipo de ameaça estão cada vez mais rápidas. A OKX emitiu um aviso público e apresentou uma reclamação às autoridades competentes após descobrir um plugin falso que se fazia passar por uma ferramenta oficial de carteira. Essa resposta proativa reflete uma maior conscientização da indústria sobre a gravidade dos ataques de extensões de navegador, mas as falhas nos mecanismos de revisão de extensões ainda permitem a exploração de programas maliciosos.

Do ponto de vista da escala de perdas, os dados da CertiK mostram que, dos 2,2 bilhões de dólares roubados no primeiro semestre de 2025, as vulnerabilidades relacionadas a carteiras representaram até 1,7 bilhões de dólares, enquanto os ataques de phishing causaram uma perda adicional de 410 milhões de dólares. Apesar de a situação de segurança geral ter melhorado em outubro - os registros da PeckShield mostram que apenas 15 incidentes de segurança ocorreram nesse mês, com perdas totais de 18,18 milhões de dólares, atingindo o menor nível do ano - a ameaça das extensões de navegador apresentou uma tendência de aumento.

Estratégias de Proteção do Usuário e Recomendações de Mitigação de Risco

Diante das crescentes ameaças de extensões de navegador, os usuários de Solana e outros participantes do criptomundo precisam estabelecer um sistema de proteção em múltiplas camadas. O princípio principal é examinar cuidadosamente os pedidos de permissão das extensões, especialmente aquelas que exigem acesso a todos os dados dos sites ou a inserção de informações sensíveis. Antes da instalação, deve-se verificar a identidade do desenvolvedor, conferir avaliações de usuários e o histórico de atualizações, mantendo uma vigilância especial sobre ferramentas emergentes que carecem de uma reputação consolidada.

A otimização dos hábitos de negociação também é crucial. Os usuários devem verificar cuidadosamente os detalhes completos da transação na janela de confirmação da carteira antes de executar cada transação, em vez de confiar apenas no resumo avançado. Para usuários do ecossistema Solana, pode-se considerar o uso de carteiras que suportam a análise de instruções de transação, que podem decompor instruções de transação complexas em componentes mais fáceis de entender, ajudando a identificar operações anormais.

Do ponto de vista da proteção técnica, revisar regularmente as extensões de navegador instaladas e remover prontamente componentes desnecessários ou suspeitos é uma medida preventiva eficaz. Usar navegadores especializados para operações de criptomoeda, isolados das atividades de navegação diárias, também pode reduzir significativamente a exposição ao risco. Embora as carteiras de hardware não consigam impedir totalmente esse tipo de ataque, elas podem oferecer uma camada extra de segurança para ativos de grande valor, limitando a escala das perdas potenciais.

A necessidade urgente de responsabilidade da plataforma e colaboração na indústria

A falha no mecanismo de revisão da loja de aplicativos Chrome ficou evidente neste incidente. A extensão Crypto Copilot conseguiu operar continuamente por quase seis meses desde junho sem interrupções, refletindo a deficiência técnica da plataforma na detecção de códigos maliciosos. Embora a equipe do Socket tenha submetido um pedido de exclusão, o atraso no tratamento por parte do Google pode resultar em mais usuários sendo afetados, e essa velocidade de resposta está seriamente desalinhada com as necessidades de segurança da indústria de criptomoedas.

Do ponto de vista da autorregulação da indústria, os fornecedores de carteiras precisam assumir mais responsabilidades educacionais. Melhorando a forma como as informações são exibidas na interface de confirmação de transações e fornecendo avisos de risco mais intuitivos, pode-se ajudar os usuários a reconhecer melhor transações anormais. Carteiras populares como a Phantom já começaram a explorar funcionalidades de simulação de transações, mostrando aos usuários os resultados esperados antes da assinatura, o que é particularmente eficaz na detecção de instruções ocultas.

A coordenação da regulamentação também é um aspecto importante na resposta às ameaças de expansão. As autoridades financeiras de cada país devem aumentar a supervisão do mercado de extensões de navegador, estabelecendo um mecanismo de comunicação rápida com as plataformas. Ao mesmo tempo, as autoridades de aplicação da lei precisam aprimorar suas capacidades técnicas de rastreamento de fundos on-chain, para que, ao descobrir extensões maliciosas, possam congelar rapidamente os fundos envolvidos, criando possibilidades para que as vítimas recuperem suas perdas.

Evolução das Ameaças de Segurança e Construção de um Sistema de Defesa Ecológica

O incidente do Crypto Copilot não é apenas um alerta de segurança independente, mas também o mais recente exemplo da evolução contínua das ameaças de extensões de navegador. À medida que o processo de mainstreaming da indústria de criptomoedas acelera, a sofisticação técnica dos atacantes também está em constante aumento, desde sites de phishing simples até ofuscações de código complexas, e as partes defensivas precisam atualizar suas estratégias de resposta na mesma velocidade. Para os usuários comuns, cultivar a consciência de segurança e hábitos prudentes é o escudo de proteção mais eficaz; para os participantes da indústria, construir inteligência de ameaças compartilhadas e mecanismos de resposta rápida é a base para garantir o desenvolvimento saudável do ecossistema. No futuro previsível, as extensões de navegador continuarão a ser um ponto de ruptura importante para os atacantes, e somente através de uma tríplice esforço de educação do usuário, melhorias tecnológicas e colaboração regulatória, podemos ocupar uma posição proativa nesta guerra contínua de ataque e defesa em segurança.