Кибербезопасная компания Socket выявила вредоносное расширение Crypto Copilot для браузера Google Chrome, которое под видом инструмента для торговли тайно присваивает часть средств пользователей при операциях с Solana (SOL). Расширение, опубликованное в Chrome Web Store 18 июня 2024 года, интегрируется с платформой X (ранее Twitter) и заявляет о возможности мгновенного выполнения свопов без переключения между приложениями.
Механизм мошенничества заключается во внедрении дополнительной инструкции в каждую транзакцию, которая переводит минимум 0,0013 SOL или 0,05% от суммы сделки на кошелёк злоумышленника. При этом интерфейс расширения отображает только данные о свопе, а экраны подтверждения в кошельках (например, Phantom) показывают сводную информацию, скрывая отдельные инструкции. Пользователи подписывают то, что кажется единой операцией, но в блокчейне атомарно исполняются обе команды.
Расширение использует децентрализованную биржу Raydium для проведения свопов, а его код heavily обфусцирован, что затрудняет обнаружение несанкционированных переводов. На момент публикации отчёта у расширения было всего 15 пользователей, но Socket уже направила запрос на его удаление в службу безопасности Chrome Web Store.
Этот инцидент стал очередным в серии атак через расширения Chrome: в августе 2025 года агрегатор Jupiter предупредил о подобном вредоносном плагине, а в июне 2024 года китайский трейдер потерял $1 млн из-за расширения Aggr, которое похитило cookies для доступа к аккаунту Binance.
CRO
DOT
ZEC
FIL
LIVE
TAP
USDT
MNT
NEX
USDC
BTC
ETH