惡意Chrome擴展程序曝光，該程序會在Raydium互換交易中添加秘密SOL費用

研究人員發現一款名為 Crypto Copilot 的 Chrome 擴展程序會在用戶進行加密貨幣兌換時暗中收取額外費用，這給 索拉納交易者帶來了新的安全隱患。 該擴展程序旨在推廣用戶直接從社交媒體信息流進行快速交易。

然而，調查人員發現，該工具會在每次Raydium互換交易中悄悄插入一筆隱藏的SOL轉賬。 因此，毫不知情的用戶會在沒有任何屏幕提示的情況下損失部分資產。 這一發現引發了人們對基於瀏覽器的交易工具的廣泛擔憂，並提醒交易者註意那些需要廣泛簽名權限的擴展程序所帶來的風險。

研究人員揭示隱藏的轉移邏輯

Socket威脅研究團隊已識別在審查與 Solana 活動相關的可疑擴展程序時，我們發現了其行為。 該擴展程序乍看之下似乎是合法的，因為它連接到知名錢包並顯示來自 DexScreener 的代幣數據。

然而，研究人員注意到，每次交換都會生成兩條指令而不是一條。 該擴展程序構建了正確的 Raydium 交換。 然後，它附加了另一條指令，用於轉移少量……SOL交易會發送到單個由攻擊者控制的錢包。 手續費從 0.0013 SOL 到交易金額的 0.05% 不等。

此外，這筆轉賬不會顯示在界面上。 通常，錢包會將整個交易概括為一個單一操作，用戶很難注意到額外的指令。 因此，攻擊者可以在後台收取手續費，而交易者卻以為自己正在執行正常的掉期交易。

便利性掩蓋了風險

Crypto COPilot於2024年6月推出，其宣傳策略吸引了那些行動迅速的人群。 Solana 交易者。 該擴展程序可以檢測 X 論壇帖子中提到的代幣，並提供一鍵兌換按鈕。 它請求的錢包適配器權限對於經常交易的用戶來說看起來很正常。 此外，其界面以速度和便捷性為主要特點。

然而，其所有營銷材料均未提及額外費用或未公開的轉賬。 問題代碼隱藏在高度混淆的文件中。 這引起了分析師的擔憂，他們指出，提供即時交易功能的擴展程序通常會鼓勵用戶快速簽署交易，從而更容易忽略一些細微的額外指令。

對 Solana 用戶的更廣泛影響

該擴展程序仍然在線，研究人員已要求將其下架。 值得注意的是，此次事件凸顯了一個更廣泛的趨勢：處理鏈上操作的瀏覽器擴展程序越來越受歡迎，但也增加了安全風險。

此外，由於 Solana 生態系統的活躍度不斷提高，攻擊者現在更頻繁地將目標對準 Solana 交易者。 因此，安全團隊建議用戶仔細審查每筆交易，避免使用不熟悉的擴展名，並監控異常的轉賬模式。