“加密副駕駛”擴展程序向黑客發送SOL：詳情

根據最近的報告“Crypto Copilot”Chrome擴展程序會從安裝它的任何人那裡竊取SOL。

該擴展程序偽裝成 Solana 用戶的交易助手，讓您可以直接從 X（Twitter）帖子執行互換交易。

從表面上看，它完全正常：它可以連接到標準錢包，顯示 DexScreener 價格數據，並通過 Solana 最大的 AMM Raydium 進行交易。

但在該用戶界面之下，它會在你簽署的每筆交易中秘密注入一條額外的指令。

工作原理

該擴展程序會在後台悄悄附加第二條指令：向攻擊者的個人錢包進行一筆微小的、隱藏的 SOL 轉賬。

你永遠不會在用戶界面上看到它。 像 PhantOM 這樣的錢包只會顯示摘要，除非你手動展開指令列表。 因此，大多數用戶根本不會注意到隱藏在同一筆交易中的出賬轉賬。

費用提取代碼本身很簡單：它計算出一個很小的固定費用或交易額的一小部分，將其轉換為 lAMPorts，然後悄悄地向交易添加第二條指令，將該金額發送到攻擊者的錢包。

危險之處在於，這種邏輯隱藏在高度混淆的 JavaScrIPt 代碼中。 表面上看，用戶界面完全正常，只顯示預期的 Raydium 交換信息。

該擴展程序還會連接到一個拼寫錯誤的後端域名，該域名會記錄錢包 ID、跟踪活動，並假裝提供“積分”和推薦，即使實際的網站是空的且無法運行。

在鏈上，這種盜竊行為看起來就像是與合法交易並列的微小普通SOL轉賬。 因此，除非有人仔細檢查指令或知道攻擊者的地址，否則它很容易被忽略。 手續費故意設置得非常小，以至於當時很容易被忽略。