“加密副驾驶”扩展程序向黑客发送SOL：详情

根据最近的报告“Crypto Copilot”Chrome扩展程序会从安装它的任何人那里窃取SOL。

该扩展程序伪装成 Solana 用户的交易助手，让您可以直接从 X（Twitter）帖子执行互换交易。

从表面上看，它完全正常：它可以连接到标准钱包，显示 DexScreener 价格数据，并通过 Solana 最大的 AMM Raydium 进行交易。

但在该用户界面之下，它会在你签署的每笔交易中秘密注入一条额外的指令。

工作原理

该扩展程序会在后台悄悄附加第二条指令：向攻击者的个人钱包进行一笔微小的、隐藏的 SOL 转账。

你永远不会在用户界面上看到它。像 Phantom 这样的钱包只会显示摘要，除非你手动展开指令列表。因此，大多数用户根本不会注意到隐藏在同一笔交易中的出账转账。

费用提取代码本身很简单：它计算出一个很小的固定费用或交易额的一小部分，将其转换为 lamports，然后悄悄地向交易添加第二条指令，将该金额发送到攻击者的钱包。

危险之处在于，这种逻辑隐藏在高度混淆的 JavaScript 代码中。表面上看，用户界面完全正常，只显示预期的 Raydium 交换信息。

该扩展程序还会连接到一个拼写错误的后端域名，该域名会记录钱包 ID、跟踪活动，并假装提供“积分”和推荐，即使实际的网站是空的且无法运行。

在链上，这种盗窃行为看起来就像是与合法交易并列的微小普通SOL转账。因此，除非有人仔细检查指令或知道攻击者的地址，否则它很容易被忽略。手续费故意设置得非常小，以至于当时很容易被忽略。