警惕新型惡意擴展！Crypto Copilot竊取Solana用戶每筆交易0.05%資產

Socket 威脅研究團隊最新發現，一款名爲 Crypto Copilot 的 Chrome 擴展程序自 2024 年 6 月上線以來，持續竊取 Solana 交易者的資金。該擴展會在每筆 Raydium 兌換交易中祕密附加額外指令，轉移至少 0.0013 SOL 或交易額的 0.05% 到攻擊者控制的錢包。目前該擴展仍在 Chrome 應用商店在線運營，研究人員已向 Google 提交下架請求但尚未獲得處理確認。

惡意代碼運作機制深度剖析

Crypto Copilot 擴展通過高度混淆的 JavaScript 代碼掩蓋其惡意行爲，在用戶執行正常的 Raydium 兌換操作時構造兩個連續指令。表面上擴展生成標準的兌換指令，實際上隨後會附加第二個轉移指令，將用戶資金轉入地址爲 Bjeida 的攻擊者錢包。這種精心設計的雙指令結構使得用戶在界面上僅能看到合法的兌換操作，而大多數錢包確認窗口也只顯示交易的高級摘要而非完整指令列表。

（來源：Socket）

該擴展的收費邏輯完全硬編碼在程序內部，採用最低收費與比例收費孰高原則。具體而言，每筆交易至少竊取 0.0013 SOL，當交易金額超過 2.6 SOL 時則按 0.05% 的比例抽取資金。這種階梯式設計既保障了小額交易中的基本收益，又確保了大額交易中能獲取更高利潤，顯示出攻擊者對收益最大化的精細考量。

研究人員發現擴展程序還通過變量重命名和積極的最小化壓縮來隱藏惡意行爲，攻擊者錢包地址被深埋在代碼包的無關變量標籤下。除了資金竊取功能，擴展還會定期將連接的錢包標識符和活動數據發送到名爲 crypto-coplilot-dashboard.vercel.app 的後端，這個拼寫錯誤的域名目前僅顯示空白佔位頁面，反映出攻擊者基礎設施的粗糙性。

惡意擴展技術特徵與數據匯總

攻擊手法

• 目標網路：Solana
• 攻擊對象：Raydium 交易用戶
• 竊取比例：0.05% 或最低 0.0013 SOL
• 隱蔽手段：交易指令追加、代碼混淆

技術細節

• 使用硬編碼 Helius API 密鑰進行交易模擬
• 連接至拼寫錯誤域名後端
• 通過變量重命名隱藏惡意代碼

影響範圍

• 上線時間：2024 年 6 月
• 當前狀態：Chrome 商店仍可下載
• 數據泄露：錢包標識符與交易數據

瀏覽器擴展攻擊的行業背景與趨勢

2025 年瀏覽器擴展已成爲最持久的加密攻擊載體之一，這一趨勢在 Socket 團隊發布 Crypto Copilot 分析報告時得到進一步印證。回顧 7 月份的安全事件，超過 40 個惡意 Firefox 擴展被發現冒充主流錢包提供商，包括 MetaMask、Coinbase、Phantom、OKX 和 Trust。這些僞造擴展直接從用戶瀏覽器中獲取錢包憑證，並將其傳輸到攻擊者控制的服務器。

交易所對此類威脅的反應日益迅速。OKX 在發現冒充官方錢包工具的僞造插件後，公開發出警告並向相關部門提交投訴。這種主動應對反映了行業對瀏覽器擴展攻擊危害性的認識提升，但擴展審核機制的漏洞仍然讓惡意程序有機可乘。

從損失規模來看，CertiK 數據顯示 2025 年上半年被竊取的 22 億美元中，錢包相關漏洞佔比高達 17 億美元，釣魚事件又額外造成 4.1 億美元損失。盡管整體安全形勢在 10 月份出現好轉——PeckShield 記錄顯示當月僅發生 15 起安全事件，總損失 1818 萬美元，創下年度最低水平——但瀏覽器擴展威脅卻呈現逆勢上升態勢。

用戶防護策略與風險緩解建議

面對日益復雜的瀏覽器擴展威脅，Solana 用戶及其他加密參與者需要建立多層次防護體系。首要原則是仔細審查擴展權限請求，特別是那些要求訪問所有網站數據或輸入敏感信息的擴展。安裝前應驗證開發者身分，查看用戶評價和歷史更新記錄，對新興且缺乏口碑積累的工具保持特別警惕。

交易習慣的優化同樣關鍵。用戶應在執行每筆交易前仔細檢查錢包確認窗口中的完整交易詳情，而不僅僅依賴高級摘要。對於 Solana 生態用戶，可考慮使用支持交易指令解析的錢包，這些工具能夠將復雜的交易指令分解爲更易理解的組成部分，幫助識別異常操作。

從技術防護角度，定期審查已安裝的瀏覽器擴展並及時移除不必要或可疑的組件是有效預防措施。使用專門的瀏覽器進行加密操作，與日常瀏覽活動隔離，也能顯著降低風險暴露。硬體錢包雖然無法完全阻止此類攻擊，但能爲大額資產提供額外安全層，限制潛在損失規模。

平台責任與行業協作的迫切需求

Chrome 應用商店審核機制的失效在此次事件中暴露無遺。Crypto Copilot 擴展能夠自 6 月份起持續運營近半年而未被打斷，反映出平台方在惡意代碼檢測方面的技術短板。雖然 Socket 團隊已提交下架請求，但 Google 的處理延遲可能導致更多用戶受害，這種響應速度與加密行業的安全需求嚴重不匹配。

從行業自律角度看，錢包提供商需要承擔更多教育責任。通過改進交易確認界面的信息展示方式，提供更直觀的風險提示，可以幫助用戶更好地識別異常交易。像 Phantom 這樣的主流錢包已開始探索交易模擬功能，在籤名前向用戶展示交易的預期結果，這一特性對檢測隱藏指令尤爲有效。

監管協調也是應對擴展威脅的重要環節。各國金融監管機構應加強對瀏覽器擴展市場的監督，建立與平台方的快速通報機制。同時，執法部門需要提升對鏈上資金追蹤的技術能力，以便在發現惡意擴展時能快速凍結涉案資金，爲受害者挽回損失創造可能性。

安全威脅演進與生態防御體系建設

Crypto Copilot 事件不僅是一個獨立的安全警告，更是瀏覽器擴展威脅持續演進的最新例證。隨着加密行業主流化進程加速，攻擊者的技術精細程度也在不斷提升，從簡單的釣魚網站到復雜的代碼混淆，防御方需要以同樣速度升級應對策略。對於普通用戶而言，培養安全意識和審慎習慣是最有效的防護盾牌；對於行業參與者，構建共享威脅情報和快速響應機制則是確保生態健康發展的基石。在可預見的未來，瀏覽器擴展仍將是攻擊者的重要突破口，唯有通過用戶教育、技術改進和監管協作的三重努力，才能在這場持續的安全攻防戰中佔據主動。