Скрытый мошенничество с комиссиями на виду: как Крипто Копилот тихо обокрал трейдеров Solana

Исследователи безопасности сообщили, что Crypto Copilot, расширение для Chrome, постоянно вымогает SOL у пользователей, пытающихся обменять на Raydium. Вместо того чтобы напрямую опустошать кошельки, расширение добавляет скрытую инструкцию на перевод к законным транзакциям, перекачивая как минимум 0.0013 SOL или 0.05% от стоимости сделки напрямую в кошелек злоумышленника.

Как скрытый перевод прошёл мимо экранов кошелька

Расширение, запущенное в Chrome Web Store 18 июня 2024 года разработчиком с аккаунтом, указанным как “sjclark76”, позиционировало себя как идеальный помощник для трейдеров, прикованных к X, обещая мгновенные обмены прямо из ленты благодаря интеграции с DexScreener для цен, Helius для доступа к блокчейну и основными кошельками, такими как Phantom и Solflare.

Когда пользователь инициирует обмен, расширение тихо изменяет транзакцию до того, как она достигнет кошелька

Зловредный код внедряет дополнительную инструкцию SystemProgram.transfer, которая направляет средства на жестко закодированный адрес получателя. Поскольку законный обмен и кража объединены в одну атомарную транзакцию, экран подтверждения кошелька показывает только ожидаемые детали сделки. Дополнительный перевод остается невидимым, если пользователь сознательно не развернет и не проверит каждую инструкцию, что является шагом, который делают лишь немногие трейдеры.

Исходный код расширения сильно сжат и скрыт, в то время как его предполагаемый официальный веб-сайт, cryptocopilot.app, остается припаркованным доменом GoDaddy без функционального контента. На 27 ноября 2025 года расширение, Crypto Copilot, все еще доступно в Интернет-магазине Chrome с только 12 и 15 известными установками.

Что пользователи должны сделать, прежде чем будет слишком поздно

Схема с сифоном была раскрыта компанией безопасности Socket 25 ноября 2025 года после полного реверс-инжиниринга расширения. Согласно исследователю Кушу Пандье, перевод тихо добавляется и перенаправляется на личный кошелек, а не в казну какого-либо протокола, что означает, что большинство жертв никогда не замечают этого, если только они не проверяют каждую инструкцию перед подписанием.

Socket отправил запрос на удаление в Google. Этот инцидент следует за серией аналогичных атак на пользователей Solana, включая расширение Bull Checker, отмеченное в августе 2024 года, и еще один высококлассный кошелек, который был отмечен ранее в ноябре 2025 года, которые действуют с использованием аналогичных тактик.

Пользователям, которые когда-либо устанавливали Крипто Копилот, рекомендуется немедленно удалить расширение, переместить оставшиеся средства на новый кошелек и отозвать все связанные разрешения, используя такие сервисы, как revoke.cash

В дальнейшем трейдерам и инвесторам рекомендуется вручную проверять каждую инструкцию по транзакции перед подписанием, особенно при использовании сторонних браузерных расширений для взаимодействия с протоколами Solana.

Эта статья была первоначально опубликована как Скрытая мошенническая комиссия на виду: как Крипто Копилот тихо обманул трейдеров Solana на Crypto Breaking News – вашем надежном источнике новостей о крипто, новостей о Bitcoin и обновлений в области блокчейна.