Estafa de Tarifas Ocultas a la Vista: Cómo Cripto Copilot Drenó Silenciosamente a los Traders de Solana

Investigadores de seguridad revelaron que Crypto Copilot, una extensión de Chrome, ha estado constantemente extrayendo SOL de los usuarios que intentan intercambiar en Raydium. En lugar de drenar directamente las billeteras, la extensión adjunta una instrucción de transferencia oculta a las transacciones legítimas, siphonando al menos 0.0013 SOL o 0.05% del valor de la operación directamente en la billetera de un atacante.

Cómo la Transferencia Oculta Escapó a las Pantallas de la Billetera

La extensión, lanzada en la Chrome Web Store el 18 de junio de 2024, por una cuenta de desarrollador listada como “sjclark76,” se posicionó como el compañero perfecto para los traders pegados a X, prometiendo intercambios instantáneos directamente desde el feed al integrarse con DexScreener para precios, Helius para acceso a blockchain y billeteras principales como Phantom y Solflare.

Cuando un usuario inicia un intercambio, la extensión modifica silenciosamente la transacción antes de que llegue a la billetera.

El código malicioso inyecta una instrucción adicional SystemProgram.transfer que redirige fondos a una dirección de destinatario codificada. Debido a que el intercambio legítimo y el robo se combinan en una única transacción atómica, la pantalla de confirmación de la billetera muestra solo los detalles del comercio esperado. La transferencia adicional permanece invisible a menos que el usuario expanda y examine conscientemente cada instrucción, un paso que solo unos pocos comerciantes realizan.

El código fuente de la extensión está fuertemente comprimido y oculto, mientras que su supuesta página web oficial, cryptocopilot.app, sigue siendo un dominio aparcado de GoDaddy sin contenido funcional. A partir del 27 de noviembre de 2025, la extensión, Crypto Copilot, todavía está disponible en la Chrome Web Store con solo 12 y 15 instalaciones conocidas.

Lo que los usuarios deben hacer antes de que sea demasiado tarde

El esquema de sifón fue revelado por la empresa de seguridad Socket el 25 de noviembre de 2025, después de haber realizado un análisis exhaustivo de la extensión. Según el investigador Kush Pandya, la transferencia se agrega silenciosamente y se reenvía a una billetera personal en lugar de a cualquier tesorería de protocolo, lo que significa que la mayoría de las víctimas nunca se dan cuenta a menos que revisen cuidadosamente cada instrucción antes de firmar.

Socket ha enviado una solicitud de eliminación a Google. El incidente sigue a una serie de ataques similares a usuarios de Solana, incluyendo la extensión Bull Checker marcada en agosto de 2024 y otra billetera de alto rango que fue marcada a principios de noviembre de 2025, que operan utilizando tácticas similares.

Se aconseja a los usuarios que hayan instalado Cripto Copilot que eliminen la extensión de inmediato, transfieran los fondos restantes a una nueva billetera y revoquen todas las aprobaciones asociadas utilizando servicios como revoke.cash.

De aquí en adelante, se aconseja a los comerciantes e inversores que revisen manualmente cada instrucción de transacción antes de firmar, particularmente al utilizar extensiones de navegador de terceros para interactuar con los protocolos de Solana.

Este artículo se publicó originalmente como Estafa de Tarifas Ocultas a Simple Vista: Cómo Cripto Copilot Drenó Silenciosamente a los Comerciantes de SOL en Crypto Breaking News – su fuente confiable de noticias cripto, noticias de Bitcoin y actualizaciones de blockchain.