Em resumo
- A extensão do Chrome, Crypto Copilot, adiciona secretamente uma transferência SOL oculta a cada troca de Raydium, desviando taxas para a carteira do invasor.
- A plataforma de segurança Socket descobriu que a extensão usa código ofuscado e um domínio de back-end inativo e com erros ortográficos para mascarar sua atividade.
- O roubo na rede permanece pequeno até agora, mas o mecanismo aumenta com o tamanho do comércio, e a extensão ainda está ativa na Chrome Web Store.
Uma extensão do Chrome comercializada como uma ferramenta de negociação conveniente tem desviado secretamente o SOL das trocas dos usuários desde junho passado, injetando taxas ocultas em cada transação enquanto se disfarça como um assistente comercial legítimo da Solana.
A empresa de segurança cibernética Socket descobriu a extensão de malware Crypto Copilot durante o “monitoramento contínuo” da Chrome Web Store, disse o engenheiro de segurança e pesquisador Kush Pandya Descriptografar.
🚨 Os pesquisadores do Socket descobriram uma extensão maliciosa do Chrome que injeta #SOL transfere para swaps Raydium, desviando silenciosamente as taxas para a carteira do invasor.
Análise completa → https://t.co/bdGOXViJpA #Solana
– Soquete (@SocketSecurity) 25 de novembro de 2025
Em um análise da extensão maliciosa publicada na quarta-feira, Pandya escreveu que o Crypto Copilot anexa silenciosamente uma instrução de transferência extra para cada Solana swap, extraindo um mínimo de 0,0013 SOL ou 0,05% do valor da negociação para uma carteira controlada pelo invasor.
“Nosso scanner de IA sinalizou vários indicadores: ofuscação agressiva de código, um endereço Solana codificado embutido na lógica de transação e discrepâncias entre a funcionalidade declarada da extensão e o comportamento real da rede”, disse Pandya. Descriptografaracrescentando que “Esses alertas desencadearam uma análise manual mais profunda que confirmou o mecanismo oculto de extração de taxas”.
A pesquisa aponta riscos em ferramentas criptográficas baseadas em navegador, especialmente extensões que combinam integração de mídia social com recursos de assinatura de transações.
A extensão permaneceu disponível na Chrome Web Store por meses, sem nenhum aviso aos usuários sobre as taxas não divulgadas enterradas em códigos altamente ofuscados, diz o relatório.
“O comportamento das taxas nunca é divulgado na listagem da Chrome Web Store, e a lógica que o implementa está enterrada em um código fortemente ofuscado”, observou Pandya.
Cada vez que um usuário troca tokens, a extensão gera a instrução de troca Raydium adequada, mas discretamente acrescenta uma transferência extra direcionando o SOL para o endereço do invasor.
Raydium é uma bolsa descentralizada e formadora de mercado automatizada baseada em Solana, enquanto uma “troca Raydium” simplesmente se refere à troca de um token por outro por meio de seus pools de liquidez.
Os usuários que instalaram o Crypto Copilot, acreditando que isso simplificaria suas negociações no Solana, pagaram, sem saber, taxas ocultas em cada troca, taxas que nunca apareceram nos materiais de marketing da extensão ou na listagem da Chrome Web Store.
A interface mostra apenas os detalhes da troca, e os pop-ups da carteira resumem a transação, para que os usuários assinem o que parece ser uma única troca, mesmo que ambas as instruções sejam executadas simultaneamente na cadeia.
A carteira do invasor recebeu apenas pequenas quantias até o momento, um sinal de que o Crypto Copilot ainda não atingiu muitos usuários, em vez de uma indicação de que a exploração é de baixo risco, conforme o relatório.
O mecanismo de taxas varia de acordo com o tamanho da negociação, já que para swaps abaixo de 2,6 SOL, aplica-se a taxa mínima de 0,0013 SOL e, acima desse limite, a taxa percentual de 0,05% entra em vigor, o que significa que um swap de 100 SOL extrairia 0,05 SOL, cerca de US$ 10 a preços atuais.
O domínio principal da extensão cryptocopilot(.)app é estacionado pelo registro de domínio GoDaddy, enquanto o backend em crypto-coplilot-dashboard(.)vercel(.)app, notavelmente com erros ortográficos, exibe apenas uma página de espaço reservado em branco, apesar de coletar dados da carteira, diz o relatório.
Socket enviou um pedido de remoção à equipe de segurança da Chrome Web Store do Google, embora a extensão permanecesse disponível no momento da publicação.
A plataforma incentivou os usuários a revisar cada instrução antes de assinar transações, evitar extensões comerciais de código fechado que solicitem permissões de assinatura e migrar ativos para carteiras limpas se instalarem o Crypto Copilot.
Padrões de malware
O malware continua sendo uma preocupação crescente para os usuários de criptografia. Em setembro, uma variedade de malware chamada ModStealer foi encontrada visando carteiras criptografadas no Windows, Linux e macOS por meio de anúncios falsos de recrutadores de empregos, evitando a detecção pelos principais mecanismos antivírus por quase um mês.
O CTO da Ledger, Charles Guillemet, alertou anteriormente que os invasores haviam comprometido uma conta de desenvolvedor NPM, com código malicioso tentando trocar silenciosamente endereços de carteiras criptografadas durante transações em vários blockchains.
Resumo Diário Boletim informativo
Comece cada dia com as principais notícias do momento, além de recursos originais, podcast, vídeos e muito mais.
Discover more from Criptomedia
Subscribe to get the latest posts sent to your email.
Related posts:
- Worldshards lança economia completa no jogo com airdrops pré-tge para todos os jogadores ativos
- Apenas 5% do investimento em Solana pode impulsionar portfólios, conclui estudo
- Conheça o gatinho que ruge de Beyond Meat: ‘Eu me sentiria culpado por vender’
- A criptografia está oficialmente em um mercado em baixa? Análise Técnica
