Дослідники Socket виявили у Chrome Web Store підробне розширення під назвою Crypto Copilot, яке маскується під інструмент для швидкої торгівлі у X, але насправді додає до кожної транзакції прихований переказ Solana на гаманець зловмисника.
Експерти попереджають: трейдери ризикують втрачати кошти, навіть не усвідомлюючи цього.
Crypto Copilot: маскування під трейдинговий інструмент
Компанія Socket опублікувала звіт, у якому детально описала, як працює шкідливе Chrome-розширення Crypto Copilot. Зовні продукт виглядає як сервіс для “миттєвого трейдингу прямо зі стрічки X” та інтегрується з популярними Solana-гаманцями: Phantom, Solflare та іншими.
Розширення здатне створювати стандартні своп-транзакції через Raydium, проте паралельно, атомарно з ними, додає приховану інструкцію на переказ SOL на заздалегідь зашитий у код гаманець зловмисника:
Bjeida13AjgPaUEU9xrh1iQMwxZC7QDdvSfg73oxQff7.
Цей платіж не видно в інтерфейсі, а у списку інструкцій він зливається з основною операцією, що дозволяє зловмисникам залишатися непоміченими.
Як саме крадуть SOL: схема прихованих комісій
У коді Crypto Copilot розробники Socket виявили прихований механізм відрахувань, який автоматично стягує:
- 0,0013 SOL — мінімальну комісію для дрібних свопів;
- 0,05% від обсягу свопу — для угод понад 2,6 SOL.
Приклади:
- 100 свопів по 5 SOL принесуть зловмиснику 0,25 SOL;
- одна операція на 100 SOL додасть 0,05 SOL прихованої комісії.
Під час активної торгівлі такі дрібні списання майже неможливо помітити, особливо якщо користувач не відкриває детальний список інструкцій у гаманці.
Ознаки шахрайства: підроблена інфраструктура та дивний бекенд
Socket з’ясувала, що розширення використовує реальні API сервісів DexScreener і Helius RPC, це створює ілюзію легітимності. Проте загальна інфраструктура схожа на одноразовий фішинговий проєкт:
- домен cryptocopilot[.]app – просто припаркований;
- бекенд розміщено на домені з помилкою crypto-coplilot, що є нетипово для легітимних сервісів;
- розширення передає дані користувачів на сторонній сервер без пояснення і політики безпеки.
Експерти зазначають, що хоча поки що на гаманець зловмисника надходять невеликі суми, механіка крадіжки масштабована: чим більше активність трейдера — тим більше коштів той може втратити.
Попередження Socket: такі атаки можуть повторитися
Дослідники наголошують, що подібні маніпуляції можуть з’являтися і в інших розширеннях, особливо тих, що працюють із Solana та EVM:
- розширення, які поєднують доступ до соцмереж і можливість підписувати транзакції, становлять особливий ризик;
- жорстко прописані адреси, обфускований код та приховані інструкції SystemProgram.transfer, характерні для шахрайських рішень;
- проєкти без повноцінного сайту чи документації часто є підробними.
Socket опублікувала індикатори компрометації, серед яких email, ID розширення та Solana-адреса зловмисника.
Як захиститися користувачам
Експерти радять діяти за кількома ключовими правилами. Перед підтвердженням будь-якої транзакції варто уважно перевіряти всі інструкції, щоб переконатися у відсутності прихованих переказів. Також рекомендують уникати торгових розширень із закритим кодом, які складно перевірити на безпечність.
Якщо ж користувач раніше встановлював Crypto Copilot, необхідно негайно перенести всі активи на новий гаманець і відкликати дозволи, які були надані цьому розширенню. Це допоможе мінімізувати ризики й запобігти подальшим втратам.
