交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
财经日历
专题
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
合约计算器
期权分析
账号安全
资讯收藏
自选币种
我的关注
Chrome扩展程序如何通过隐藏交易指令窃取Solana资金
一款伪装成Solana交易便捷工具的恶意谷歌浏览器扩展程序,被曝光会在每次交易中悄无声息地添加未经授权的转账指令。网络安全公司Socket发现,这款名为Crypto Copilot的插件虽然允许用户直接在X平台推送内容中发起Solana交易,但会暗中插入额外指令,将SOL转入攻击者控制的钱包。
隐蔽的持续吸血策略
与传统试图清空整个钱包的恶意软件不同,Crypto Copilot采用了更隐蔽的持久化手段。用户每次执行Raydium交易时,该扩展都会附加链上操作,将至少0.0013 SOL或交易金额的0.05%转给攻击者。由于恶意指令与正常交易在链上原子化执行,钱包界面仅显示高级摘要,使得盗取行为几乎无法察觉。
Socket专家指出:“用户签署的看似是单笔交易,但实际上两条指令会在链上同步执行。”这种机制使得Crypto Copilot能持续窃取小额资金,同时避免触发钱包警告系统。
攻击机制为何难以防范
该扩展使用基于Solana的流行去中心化交易所Raydium执行交易。其前端界面显示清晰的交易详情,没有任何篡改痕迹,恶意逻辑隐藏在后台处理环节——插件会准备提交给钱包的完整交易载荷。
攻击成功的关键在于:多数Solana钱包会对复杂交易进行摘要显示而非逐条展示指令。这意味着当交易包含互换和额外转账两项操作时,除非用户手动展开详情或使用高级检测工具,否则很难发现异常。攻击者利用了三重设计缺陷:
指令捆绑:Solana允许单次交易原子化执行多条指令,使攻击者能将恶意操作隐藏于正常交易中;钱包抽象层:为提升易用性,钱包常将交易压缩为简化确认界面,掩盖了个别操作步骤;用户对浏览器工具的信任:交易者默认通过Chrome应用商店审核的扩展都经过安全检测,但审核流程其实无法识别链上操控行为。
长期潜伏的威胁
据监测数据显示,该恶意插件自2024年6月18日上架以来已持续活跃逾一年,这在加密货币恶意插件中极为罕见。尽管存活时间漫长,但截至曝光时仅显示15名用户。这种低采用率可能正是其能长期潜伏的原因——大规模资金窃取更易被研究人员追踪发现。
该扩展通过社会工程学策略自我包装,宣称能让用户“无需切换应用即刻把握交易机会”,精准瞄准注重效率的交易人群——这类用户往往更倾向于未经仔细审查即授予钱包权限。
浏览器扩展的安全困局
Crypto Copilot只是针对加密货币用户的恶意浏览器扩展清单中的最新案例。浏览器庞大的安装基数和灵活的权限系统,使其成为极具吸引力的攻击载体。近期多个安全事件表明:攻击者正将浏览器层作为绕过常规加密安全措施的新路径——与其攻破钱包防御,不如在用户缺乏严格审查即授予高敏感权限的浏览器层实施突破。
安全防护建议
安全研究人员建议用户立即卸载Crypto Copilot扩展,并核查近期Solana交易中是否存在无法解释的小额转账。由于资金窃取采用渐进式策略,受害者可能需要扫描完整交易记录才能发现异常。此外还应禁用所有可访问钱包数据的浏览器扩展,避免签署来源不明的脚本交易,并考虑切换至能完整显示指令层级详情的钱包。随着浏览器扩展攻击日趋复杂,加密社区面临着新的安全前沿:不仅需要守护区块链,更要筑牢浏览器层的防护壁垒。
