Escroquerie de frais cachés en pleine vue : comment Crypto Copilot a discrètement siphonné les traders Solana

Des chercheurs en sécurité ont révélé que Crypto Copilot, une extension Chrome, a constamment prélevé des SOL auprès des utilisateurs essayant d'échanger sur Raydium. Au lieu de vider directement les portefeuilles, l'extension attache une instruction de transfert cachée aux transactions légitimes, siphonnant au moins 0,0013 SOL ou 0,05 % de la valeur de la transaction directement dans le portefeuille d'un attaquant.

Comment le transfert caché a échappé aux filtres des portefeuilles

L'extension, lancée sur le Chrome Web Store le 18 juin 2024, par un compte développeur répertorié comme « sjclark76 », s'est positionnée comme le compagnon idéal pour les traders collés à X, promettant des échanges instantanés directement depuis le fil d'actualités en s'intégrant à DexScreener pour les prix, Helius pour l'accès à la blockchain, et des portefeuilles grand public comme Phantom et Solflare.

Lorsqu'un utilisateur initie un échange, l'extension modifie silencieusement la transaction avant qu'elle n'atteigne le portefeuille.

Le code malveillant injecte une instruction SystemProgram.transfer supplémentaire qui envoie des fonds à une adresse de destinataire codée en dur. Comme l'échange légitime et le vol sont combinés en une seule transaction atomique, l'écran de confirmation du portefeuille n'affiche que les détails de la transaction attendue. Le transfert supplémentaire reste invisible à moins que l'utilisateur n'élargisse consciemment et n'examine chaque instruction, une étape que peu de traders entreprennent.

Le code source de l'extension est fortement compressé et caché, tandis que son supposé site officiel, cryptocopilot.app, reste un domaine GoDaddy stationné sans contenu fonctionnel. À partir du 27 novembre 2025, l'extension, Crypto Copilot, est toujours disponible sur le Chrome Web Store avec seulement 12 et 15 installations connues.

Ce que les utilisateurs doivent faire avant qu'il ne soit trop tard

Le schéma de siphon a été révélé par la société de sécurité Socket le 25 novembre 2025, après avoir entièrement rétro-ingénieré l'extension. Selon le chercheur Kush Pandya, le transfert est silencieusement ajouté et transféré vers un portefeuille personnel plutôt que vers un trésor de protocole, ce qui signifie que la plupart des victimes ne s'en rendent jamais compte à moins qu'elles ne passent en revue chaque instruction avec soin avant de signer.

Socket a soumis une demande de suppression à Google. L'incident fait suite à une série d'attaques similaires contre les utilisateurs de Solana, y compris l'extension Bull Checker signalée en août 2024 et un autre portefeuille de haut rang qui a été signalé plus tôt en novembre 2025, qui opèrent selon des tactiques similaires.

Les utilisateurs qui ont déjà installé Crypto Copilot sont conseillés de supprimer l'extension immédiatement, de transférer les fonds restants vers un nouveau portefeuille et de révoquer toutes les approbations associées en utilisant des services tels que revoke.cash.

À l'avenir, il est conseillé aux traders et aux investisseurs de revoir manuellement chaque instruction de transaction avant de signer, en particulier lorsqu'ils utilisent des extensions de navigateur tierces pour interagir avec les protocoles Solana.

Cet article a été publié à l'origine sous le titre “Hidden Fee Scam in Plain Sight: How Crypto Copilot Quietly Drained Solana Traders” sur Crypto Breaking News – votre source de confiance pour les nouvelles crypto, les nouvelles Bitcoin et les mises à jour sur la blockchain.