Згідно з новими висновками групи дослідження загроз Socket, нещодавно виявлене зловмисне розширення Chrome краде кошти у трейдерів Solana, тихо витягуючи комісію з кожного виконаного ними обміну.
Розширення під назвою Crypto Copilot доступне у веб-магазині Chrome з червня 2024 року та продається як ярлик для здійснення угод Solana безпосередньо з каналів X користувачів.
Однак за інтерфейсом стоять дослідники знайдено код, призначений для вставки додаткового переказу в кожен своп Raydium, перенаправляючи принаймні 0,0013 SOL, або 0,05% від кожної транзакції, на контрольований зловмисником гаманець.
Crypto Copilot надсилає дані гаманця на підозрілу серверну частину під час виснаження коштів трейдера
Дослідники сокетів кажуть, що розширення створює звичайну інструкцію обміну Raydium, але потім додає другу інструкцію, яка передає SOL на адресу гаманця Bjeida.
Користувачі бачать лише законний своп в інтерфейсі, і більшість вікон підтвердження гаманця відображають лише короткий підсумок транзакції, а не повний список інструкцій.
У результаті трейдери схвалюють те, що здається стандартною транзакцією, не підозрюючи про приховану передачу, вбудовану в неї.
Логіка комісії повністю жорстко закодована всередині розширення та прихована під шарами заплутаного JavaScript.
Socket зазначає, що розширення застосовується в залежності від того, що більше між мінімальною комісією та комісією на основі відсотка, тобто торгівлі понад 2,6 SOL спричиняють повне вилучення 0,05%.
Дослідники виявили, що розширення використовує перейменування змінних і агресивну мініфікацію, щоб приховати поведінку, а гаманець зловмисника позначається під нешкідливою змінною глибоко всередині пакета.
Розширення залишається онлайн на момент звітування. Socket повідомляє, що надіслав запит на видалення в Google, але не отримав підтвердження, що було вжито заходів.
Окрім крадіжки комісії, слідчі також виявили, що Crypto Copilot підключається до серверної частини, розміщеної на crypto-coplilot-dashboard.vercel.app, домені з орфографічними помилками, який показує лише порожню сторінку-заповнювач.
Незважаючи на порожній сайт, розширення регулярно надсилає ідентифікатори підключеного гаманця та дані про активність до цього серверу, а також використовує жорстко закодований ключ API Helius для симуляції транзакцій і викликів RPC.
Наразі запарковано окремий домен, прив’язаний до інструменту, cryptocopilot.app.
Дослідники кажуть, що відсутність документації, функціонуючої інформаційної панелі чи будь-якої допоміжної інфраструктури не відповідає законному торговому продукту, а натомість відображає загальну практику, яку можна побачити у шкідливих розширеннях браузера.
Хоча активність у ланцюжку, пов’язана з гаманцем зловмисника, залишається обмеженою, слідчі вважають, що низький обсяг транзакцій, швидше за все, відображає відносно невелике поширення розширення, а не відсутність ризику.
Вони попереджають, що механізм масштабується разом із торговельною активністю, тобто користувачі з великими обсягами можуть з часом втратити більші суми, не помічаючи поступового витоку.
Втрати криптовалюти впали до мінімумів 2025 року, але атаки на розширення браузера продовжують зростати
Відкриття сталося в період посиленого вивчення криптозагроз у браузері. У липні понад 40 зловмисних розширень Firefox видають себе за іншу особу основні постачальники гаманців, включаючи MetaMask, Coinbase, Phantom, OKX і Trust Wallet.
Koi Security розкриває понад 40 шкідливих розширень криптогаманця в магазині Firefox, націлених на вихідні фрази з @coinbase, @MetaMaskі @TrustWallet оскільки збитки криптовалюти вибухають до 2,2 мільярда доларів у 2025 році.#CryptoWallet #Хакhttps://t.co/0EcvDev8SY
— Cryptonews.com (@cryptonews) 3 липня 2025 р
Ці розширення збирали облікові дані гаманця безпосередньо з браузерів користувачів і передавали їх на сервери, контрольовані зловмисниками.
Біржі, такі як OKX публічно попередила користувачів і подала скарги після виявлення підроблених плагінів, які маскуються під офіційні інструменти гаманця. Розширення для веб-переглядача стали одним із найпоширеніших векторів атак у 2025 році, сприяючи зростанню частки втрат криптовалюти.
Порушення, пов’язані з гаманцем, становлять 1,7 мільярда доларів із 2,2 мільярда доларів, викрадених І півріччя, повідомляє CertiK. Інциденти фішингу додали ще 410 мільйонів доларів.
Незважаючи на зростання загроз, заснованих на розширеннях, у ширшому секторі криптографії на короткий час спостерігалося зниження успішних хакерів.
У жовтні PeckShield зафіксувала лише 18,18 мільйонів доларів, викрадених через 15 інцидентів, що є найнижчим показником за місяць.
Криптоексплойти впали на 22% у вересні, але втрати все ще склали 127 мільйонів доларів. Найбільші атаки потрапили $UXLINK ($44 млн) і @swissborg ($41,5 млн), згідно з даними @PeckShieldAlert. #крипто #DeFi #хакиhttps://t.co/FsrFl0qJaw
— Cryptonews.com (@cryptonews) 2 жовтня 2025 р
Місяцем тому ця цифра була набагато вищою збитки досягли $127,06 млн у вереснікерований майже 20 основними експлойтами. Але навіть коли загальні втрати знизилися, резонансні порушення тривали.
Пост Попередження: нове розширення Chrome вичерпує трейдери Solana – 0,05% краденого за обмін вперше з’явився на Криптоновини.
