伪装成“Crypto Copilot”交易的恶意Chrome扩展程序窃取Solana($SOL)资产

加密货币交易扩展程序暗藏恶意代码

一款名为“加密助手”的Chrome浏览器扩展程序被曝光在用户不知情的情况下窃取SOL代币。该扩展程序表面看似正常的交易工具，实则暗中将资金转移至攻击者钱包。

精心伪装的交易工具

安全专家指出，该扩展程序伪装成可通过社交媒体直接支持交易的功能，设计用于通过Solana生态去中心化交易所Raydium执行加密货币兑换。其用户界面不仅显示DexScreener价格信息，还能正常连接Solana钱包，整体包装与正规交易工具无异。

隐蔽的资金窃取机制

该扩展程序在用户签署交易时会自动插入第二条支付指令，将少量SOL转入攻击者钱包。这条附加指令在普通钱包界面不可见，只有高级用户直接查看交易结构时才能发现。这种“手续费”被设计为交易金额的微小比例或固定少量数额，使得用户难以立即察觉。

高度隐蔽的攻击手段

恶意代码被隐藏于高度混淆的JavaScript中，表面看不出任何异常。该扩展还通过伪装提供“积分”和“推荐奖励”的虚假后端域名收集信息，实际用于追踪用户钱包地址和交易历史。

难以追踪的链上活动

由于链上行为仅显示为小额SOL提取，在不知晓攻击者钱包地址或交易详情的情况下极难识别。虽然目前尚未公开具体损失规模，但专家分析认为这种“类钓鱼式”窃取行为仍在持续发生。

安全警示与防护建议

本次事件揭示了通过浏览器扩展程序实施的加密货币盗窃手段已日趋精密。特别是针对用户对浏览器交易辅助工具的信任进行滥用，预示类似威胁可能持续扩散。用户在安装扩展程序时务必确认其来源和代码验证情况，并需要定期检查钱包交易记录。

安全防护要点

风险防范措施

- 安装扩展前查验GitHub源代码公开状态及社区审计记录- 定期检查Phantom等加密货币钱包的交易明细- 即使使用标准AMM交易，也应养成核查附加指令的浏览习惯

核心概念解析

- Raydium：Solana生态代表性AMM机制去中心化交易所- Lamport：Solana最小代币单位（1 SOL = 10亿Lamport）- DEX Screener：实时去中心化交易所价格追踪工具- 代码混淆：将代码转换为难以理解的安全技术，常被用于隐藏恶意代码