27/11/25
В каталоге расширений Chrome обнаружено вредоносное дополнение, которое незаметно для владельцев криптоактивов добавляет скрытую комиссию при операциях с Solana и отправляет её на кошелёк злоумышленников. Под удар попадают пользователи, совершающие обмены через децентрализованную биржу Raydium, пишет Securitylab.
Расширение под названием Crypto Copilot появилось в Chrome Web Store 7 мая 2024 года. Автором значится пользователь под ником «sjclark76». Описание обещает возможность торговать криптовалютой непосредственно в X с «оперативной аналитикой» и «удобным исполнением сделок». По данным на момент обнаружения проблемы, у дополнения 12 установок, при этом оно всё ещё доступно для загрузки.
Специалисты компании Socket установили, что за интерфейсом, имитирующим легитимный торговый инструмент, скрывается механизм дополнительного перевода в каждой операции обмена Solana. При совершении Raydium swap расширение дописывает в формируемую транзакцию вызов служебного метода SystemProgram.transfer, из-за чего в подписываемый пакет попадает ещё один перевод SOL на жёстко прописанный адрес, контролируемый злоумышленниками.
Размер комиссии рассчитывается автоматически исходя из суммы сделки. Минимум удерживается 0,0013 SOL, а при объёмах свыше 2,6 SOL прописывается перевод на 2,6 SOL и дополнительно 0,05% от суммы обмена. В интерфейсе расширения эта комиссия никак не отражается — пользователю показываются только параметры основной операции на Raydium, что делает подмену малозаметной без детального анализа каждой инструкции перед подписью.
Для сокрытия логики дополнение использует обфускацию кода, в том числе минификацию и переименование переменных. Параллельно расширение взаимодействует с серверной частью на домене «crypto-coplilot-dashboard.vercel[.]app», куда передаются данные о подключённых кошельках, реферальной активности и накопленных «очках». Связанный домен «cryptocopilot[.]app», как отмечают специалисты, не содержит полноценного продукта и служит лишь для создания видимости реального сервиса.
Дополнительную правдоподобность Crypto Copilot обеспечивает интеграция с легитимными площадками вроде DexScreener и Helius RPC. В совокупности инфраструктура проекта выстроена так, чтобы пройти модерацию Chrome Web Store и выглядеть законным инструментом для работы с криптовалютами, одновременно незаметно перехватывая часть средств пользователей в пользу автора расширения.
