Cảnh giác với các tiện ích độc hại mới! Crypto Copilot đánh cắp 0.05% tài sản của người dùng Solana trong mỗi giao dịch.

Nhóm nghiên cứu mối đe dọa Socket mới đây phát hiện một tiện ích mở rộng Chrome có tên Crypto Copilot kể từ khi ra mắt vào tháng 6 năm 2024, đã liên tục đánh cắp tiền của các nhà giao dịch Solana. Tiện ích này sẽ bí mật đính kèm các lệnh bổ sung trong mỗi giao dịch đổi Raydium, chuyển ít nhất 0.0013 SOL hoặc 0.05% giá trị giao dịch vào ví tiền mà kẻ tấn công kiểm soát. Hiện tại, tiện ích này vẫn đang hoạt động trực tuyến trong cửa hàng ứng dụng Chrome, các nhà nghiên cứu đã gửi yêu cầu hủy niêm yết tới Google nhưng chưa nhận được xác nhận xử lý.

Phân tích sâu về cơ chế hoạt động của mã độc

Crypto Copilot mở rộng che giấu hành vi độc hại của nó thông qua mã JavaScript được làm mờ cao độ, xây dựng hai lệnh liên tiếp khi người dùng thực hiện các thao tác trao đổi Raydium bình thường. Bề ngoài, mở rộng tạo ra các lệnh trao đổi tiêu chuẩn, nhưng thực tế sau đó sẽ đính kèm lệnh chuyển thứ hai, chuyển tiền của người dùng vào ví của kẻ tấn công có địa chỉ là Bjeida. Cấu trúc hai lệnh được thiết kế tinh vi này khiến người dùng chỉ có thể thấy các thao tác trao đổi hợp pháp trên giao diện, trong khi hầu hết các cửa sổ xác nhận ví chỉ hiển thị tóm tắt giao dịch cấp cao thay vì danh sách đầy đủ các lệnh.

（Nguồn: Socket）

Logic thu phí của phần mở rộng này hoàn toàn được mã hóa cứng trong chương trình, áp dụng nguyên tắc thu phí tối thiểu hoặc tỷ lệ nào cao hơn. Cụ thể, mỗi giao dịch sẽ ít nhất bị lấy đi 0.0013 SOL, và khi số tiền giao dịch vượt quá 2.6 SOL thì sẽ thu phí theo tỷ lệ 0.05%. Thiết kế dạng bậc này vừa bảo đảm lợi nhuận cơ bản trong các giao dịch nhỏ, vừa đảm bảo rằng các giao dịch lớn có thể đạt được lợi nhuận cao hơn, cho thấy sự tính toán tinh vi của kẻ tấn công trong việc tối đa hóa lợi nhuận.

Các nhà nghiên cứu phát hiện rằng tiện ích mở rộng cũng ẩn giấu hành vi độc hại thông qua việc đổi tên biến và nén tối thiểu tích cực, địa chỉ ví của kẻ tấn công bị chôn sâu dưới các nhãn biến không liên quan trong gói mã. Ngoài chức năng đánh cắp tiền, tiện ích mở rộng còn định kỳ gửi định danh ví kết nối và dữ liệu hoạt động đến một backend có tên là crypto-coplilot-dashboard.vercel.app, tên miền viết sai này hiện chỉ hiển thị một trang giữ chỗ trống, phản ánh sự thô sơ của cơ sở hạ tầng của kẻ tấn công.

Các đặc điểm kỹ thuật mở rộng độc hại và tổng hợp dữ liệu

Phương pháp tấn công

• Mạng mục tiêu: Solana
• Đối tượng tấn công: Người dùng giao dịch Raydium
• Tỷ lệ đánh cắp: 0.05% hoặc tối thiểu 0.0013 SOL
• Phương tiện ẩn giấu: Thêm lệnh giao dịch, làm rối mã

Chi tiết kỹ thuật

• Sử dụng khóa API Helius được mã hóa cứng để mô phỏng giao dịch
• Kết nối đến tên miền sai chính tả phía sau
• Ẩn mã độc bằng cách đổi tên biến

Phạm vi ảnh hưởng

• Thời gian ra mắt: Tháng 6 năm 2024
• Trạng thái hiện tại: Vẫn có thể tải xuống từ cửa hàng Chrome
• Rò rỉ dữ liệu: Ví tiền định danh và dữ liệu giao dịch

Bối cảnh và xu hướng ngành tấn công mở rộng trình duyệt

Vào năm 2025, tiện ích mở rộng trình duyệt đã trở thành một trong những phương tiện tấn công tiền điện tử bền vững nhất, xu hướng này được xác nhận thêm khi đội ngũ Socket phát hành báo cáo phân tích Crypto Copilot. Nhìn lại các sự kiện an ninh trong tháng 7, hơn 40 tiện ích mở rộng độc hại trên Firefox đã được phát hiện mạo danh các nhà cung cấp ví tiền điện tử chính, bao gồm MetaMask, Coinbase, Phantom, OKX và Trust Wallet. Các tiện ích giả mạo này trực tiếp lấy chứng chỉ ví từ trình duyệt của người dùng và truyền chúng đến máy chủ do kẻ tấn công kiểm soát.

Các sàn giao dịch ngày càng phản ứng nhanh chóng trước những mối đe dọa như vậy. OKX đã công khai cảnh báo và gửi đơn khiếu nại tới các cơ quan liên quan sau khi phát hiện các plugin giả mạo công cụ ví chính thức. Cách ứng phó chủ động này phản ánh sự nhận thức ngày càng tăng của ngành về mức độ nguy hiểm của các cuộc tấn công qua tiện ích mở rộng trình duyệt, nhưng vẫn còn những lỗ hổng trong cơ chế kiểm tra tiện ích mở rộng cho phép các chương trình độc hại có cơ hội hoạt động.

Về quy mô tổn thất, dữ liệu của CertiK cho thấy trong nửa đầu năm 2025, trong số 2,2 tỷ đô la bị đánh cắp, các lỗ hổng liên quan đến ví tiền chiếm tới 1,7 tỷ đô la, trong khi các sự kiện lừa đảo gây ra thêm tổn thất 410 triệu đô la. Mặc dù tình hình an toàn tổng thể đã có sự cải thiện vào tháng 10 - dữ liệu từ PeckShield ghi nhận chỉ xảy ra 15 sự kiện an toàn trong tháng đó, tổng tổn thất 18,18 triệu đô la, đạt mức thấp nhất trong năm - nhưng mối đe dọa từ các tiện ích mở rộng trình duyệt lại có xu hướng gia tăng.

Chiến lược bảo vệ người dùng và đề xuất giảm thiểu rủi ro

Đối mặt với những mối đe dọa ngày càng phức tạp từ các tiện ích mở rộng trình duyệt, người dùng Solana và các thành viên khác trong lĩnh vực tiền điện tử cần xây dựng một hệ thống bảo vệ đa lớp. Nguyên tắc hàng đầu là xem xét cẩn thận yêu cầu quyền truy cập của tiện ích mở rộng, đặc biệt là những tiện ích yêu cầu truy cập dữ liệu của tất cả các trang web hoặc nhập thông tin nhạy cảm. Trước khi cài đặt, nên xác minh danh tính của nhà phát triển, xem đánh giá của người dùng và lịch sử cập nhật, giữ cảnh giác đặc biệt đối với những công cụ mới nổi và thiếu sự tích lũy danh tiếng.

Việc tối ưu hóa thói quen giao dịch cũng rất quan trọng. Người dùng nên kiểm tra kỹ lưỡng thông tin giao dịch đầy đủ trong cửa sổ xác nhận ví tiền trước khi thực hiện mỗi giao dịch, chứ không chỉ dựa vào tóm tắt cao cấp. Đối với người dùng hệ sinh thái Solana, có thể xem xét sử dụng ví tiền hỗ trợ phân tích lệnh giao dịch, những công cụ này có khả năng phân tách các lệnh giao dịch phức tạp thành các phần dễ hiểu hơn, giúp nhận diện các hoạt động bất thường.

Từ góc độ bảo vệ kỹ thuật, việc định kỳ xem xét các tiện ích mở rộng trình duyệt đã cài đặt và kịp thời loại bỏ các thành phần không cần thiết hoặc đáng ngờ là biện pháp phòng ngừa hiệu quả. Sử dụng trình duyệt chuyên dụng cho các giao dịch tiền điện tử, tách biệt với các hoạt động duyệt web hàng ngày, cũng có thể giảm thiểu đáng kể rủi ro. Ví tiền phần cứng mặc dù không thể hoàn toàn ngăn chặn các cuộc tấn công như vậy, nhưng có thể cung cấp một lớp bảo mật bổ sung cho tài sản lớn, hạn chế quy mô tổn thất tiềm năng.

Nhu cầu cấp bách về trách nhiệm của nền tảng và hợp tác trong ngành

Cơ chế kiểm duyệt của cửa hàng ứng dụng Chrome đã bộc lộ rõ ràng sự thất bại trong sự kiện lần này. Mở rộng Crypto Copilot đã có thể hoạt động liên tục gần nửa năm kể từ tháng 6 mà không bị gián đoạn, phản ánh điểm yếu về mặt công nghệ của nền tảng trong việc phát hiện mã độc. Mặc dù đội ngũ Socket đã nộp yêu cầu hủy niêm yết, nhưng sự chậm trễ trong xử lý của Google có thể khiến nhiều người dùng bị thiệt hại, tốc độ phản hồi này không phù hợp với nhu cầu an toàn trong ngành công nghiệp tiền điện tử.

Từ góc độ tự quản lý trong ngành, các nhà cung cấp ví tiền cần phải chịu trách nhiệm giáo dục nhiều hơn. Bằng cách cải thiện cách trình bày thông tin trên giao diện xác nhận giao dịch, cung cấp các cảnh báo rủi ro trực quan hơn, có thể giúp người dùng nhận diện các giao dịch bất thường tốt hơn. Những ví tiền chính thống như Phantom đã bắt đầu khám phá chức năng mô phỏng giao dịch, hiển thị kết quả dự kiến của giao dịch cho người dùng trước khi ký, tính năng này đặc biệt hiệu quả trong việc phát hiện các lệnh ẩn.

Sự phối hợp quản lý cũng là một phần quan trọng trong việc đối phó với những mối đe dọa mở rộng. Các cơ quan quản lý tài chính của các quốc gia nên tăng cường giám sát thị trường tiện ích mở rộng trình duyệt, thiết lập cơ chế thông báo nhanh chóng với các nền tảng. Đồng thời, các cơ quan thực thi pháp luật cần nâng cao khả năng kỹ thuật trong việc theo dõi tài chính trên chuỗi, để có thể nhanh chóng đóng băng tài sản liên quan khi phát hiện ra tiện ích độc hại, tạo ra khả năng khôi phục thiệt hại cho nạn nhân.

Sự tiến hóa của mối đe dọa an ninh và xây dựng hệ thống phòng thủ sinh thái

Sự kiện Crypto Copilot không chỉ là một cảnh báo an ninh độc lập, mà còn là ví dụ mới nhất về sự tiến hóa liên tục của các mối đe dọa từ tiện ích mở rộng trình duyệt. Khi quá trình chính thống hóa ngành công nghiệp tiền điện tử đang tăng tốc, độ tinh vi của các kỹ thuật tấn công cũng không ngừng nâng cao, từ các trang web lừa đảo đơn giản đến các mã nguồn phức tạp, bên phòng thủ cần nâng cấp chiến lược ứng phó với tốc độ tương tự. Đối với người dùng bình thường, việc nuôi dưỡng ý thức an toàn và thói quen thận trọng là lá chắn bảo vệ hiệu quả nhất; đối với các thành viên trong ngành, việc xây dựng thông tin tình báo mối đe dọa chia sẻ và cơ chế phản hồi nhanh chóng là nền tảng đảm bảo sự phát triển lành mạnh của hệ sinh thái. Trong tương lai gần, tiện ích mở rộng trình duyệt vẫn sẽ là một lỗ hổng quan trọng cho các kẻ tấn công, chỉ có thông qua giáo dục người dùng, cải tiến công nghệ và hợp tác quản lý mới có thể giành thế chủ động trong cuộc chiến an ninh kéo dài này.