Приховане шахрайство з комісіями на виду: як Крипто Копілот тихо обікрав трейдерів Solana

Дослідники безпеки повідомили, що Crypto Copilot, розширення для Chrome, постійно краде SOL у користувачів, які намагаються обміняти на Raydium. Замість того, щоб прямо виводити кошти з гаманців, розширення додає прихану інструкцію передачі до легітимних транзакцій, siphoning щонайменше 0.0013 SOL або 0.05% від вартості угоди безпосередньо до гаманця зловмисника.

Як прихований переказ пройшов повз екрани гаманців

Розширення, запущене в Chrome Web Store 18 червня 2024 року розробником з обліковим записом «sjclark76», позиціонувалося як ідеальний супутник для трейдерів, які приклеєні до X, обіцяючи миттєві обміни безпосередньо з фіду, інтегруючись з DexScreener для цін, Helius для доступу до блокчейну та популярними гаманцями, такими як Phantom та Solflare.

Коли користувач ініціює обмін, розширення тихо модифікує транзакцію, перш ніж вона досягне гаманця

Зловмисний код впроваджує додаткову інструкцію SystemProgram.transfer, яка направляє кошти на заздалегідь вказану адресу отримувача. Оскільки легітимний обмін і крадіжка об'єднані в одну атомарну транзакцію, екран підтвердження гаманця показує лише очікувані деталі угоди. Додатковий переказ залишається невидимим, якщо користувач свідомо не розгорне та не перевірить кожну інструкцію, що є кроком, який роблять лише кілька трейдерів.

Джерельний код розширення сильно стиснутий і прихований, тоді як його нібито офіційний веб-сайт, cryptocopilot.app, залишається заблокованим доменом GoDaddy без функціонального контенту. Станом на 27 листопада 2025 року, розширення, Крипто Копілот, все ще доступне в Chrome Web Store з лише 12 і 15 відомими установками.

Що користувачі повинні зробити, перш ніж буде занадто пізно

Схему сифона було розкрито компанією безпеки Socket 25 листопада 2025 року, після повного зворотного інжинірингу розширення. За словами дослідника Куша Пандьї, переказ тихо додається та пересилається на особистий гаманець, а не на будь-який протокольний бюджет, що означає, що більшість жертв ніколи не помічають цього, якщо не переглянуть кожну інструкцію перед підписанням.

Socket подав запит на видалення до Google. Інцидент стався після серії подібних атак на користувачів Solana, включаючи розширення Bull Checker, яке було позначене в серпні 2024 року, та ще один високорейтинговий гаманець, що був позначений раніше в листопаді 2025 року, які діють за схожими тактиками.

Користувачам, які коли-небудь встановлювали Крипто Copilot, рекомендується негайно видалити розширення, перевести залишкові кошти на новий гаманець і відкликати всі пов'язані дозволи, використовуючи сервіси такі як revoke.cash

В подальшому трейдерам та інвесторам рекомендується вручну перевіряти кожну інструкцію до транзакції перед підписанням, особливо при використанні сторонніх розширень браузера для взаємодії з протоколами Solana.

Ця стаття спочатку була опублікована як Схований шахрайство з комісіями на виду: Як Крипто Копілот тихо висмоктував трейдерів Solana на Крипто Новини – ваш надійний джерело новин про криптовалюти, новин про Біткоїн та оновлень блокчейну.