Зловредное расширение для Chrome тайно крадёт SOL при свопах: как Crypto Copilot обманывает пользователей Solana

«Криптобезопасность начинается не с кошелька, а с браузера.»
— Майкл Сэйлс, исследователь безопасности в Chainalysis

В ноябре 2025 года кибербезопасностная компания Socket раскрыла масштабную угрозу в экосистеме Solana: вредоносное расширение для Google Chrome под названием Crypto Copilot скрытно крадёт часть средств при каждой транзакции, не опустошая кошелёк полностью, но методично «снимая сливки» с каждой сделки. Вместо громкого взлома — тихий, незаметный дренаж, который может остаться незамеченным месяцами. Такая тактика особенно опасна: пользователь продолжает торговать, не подозревая, что его прибыль частично уходит злоумышленнику.

🔍 Как работает Crypto Copilot: атака через «невидимую инструкцию»

Расширение позиционирует себя как удобный инструмент для трейдеров Solana, позволяющий совершать свопы прямо из ленты X (бывший Twitter). По заявлению разработчиков, оно помогает «мгновенно воспользоваться трейдинговыми возможностями без переключения между приложениями». Однако на самом деле — это изощрённая форма кражи.

Socket выяснил, что Crypto Copilot использует DEX Raydium для выполнения свопов, но добавляет вторую, скрытую инструкцию в каждую транзакцию. Эта инструкция переводит часть SOL напрямую на кошелёк злоумышленника. При этом:

• Интерфейс расширения отображает только данные о свопе.
• Экран подтверждения в кошельке сводит всю транзакцию к одной строке, не раскрывая составные инструкции.
• Пользователь подписывает, думая, что совершает обычный обмен, но в блокчейне выполняются две атомарные операции — обмен + перевод хакеру.

Размер кражи: минимум 0.0013 SOL или 0.05% от объёма свопа — достаточно мало, чтобы не вызывать подозрений, но достаточно много, чтобы при сотнях транзакций набежала внушительная сумма. По данным Socket, расширение было опубликовано ещё 18 июня 2024 года и, несмотря на скромные 15 пользователей в Chrome Web Store, могло нанести ущерб значительно большему числу людей — особенно учитывая, что многие устанавливают такие расширения из Telegram, твиттера или через фишинговые ссылки, минуя официальный магазин.

🎣 Почему это особенно опасно: доверие к интерфейсу

В отличие от классических «дрейнеров», которые пытаются украсть всё сразу, Crypto Copilot использует тактику «медленного кровопускания». Это:

• Снижает вероятность обнаружения — транзакция проходит, своп завершается, всё «работает».
• Эксплуатирует доверие пользователя к интерфейсу кошелька (Phantom, Backpack и др.), который не показывает составные инструкции Solana.
• Использует легитимную инфраструктуру (Raydium), что делает транзакцию выглядящей «чистой» в обозревателях вроде Solscan.

Как отметил аналитик Socket: «Пользователь видит одну транзакцию, а на цепочке — две. Разница между тем, что вы подписываете, и тем, что выполняется, — вот где живёт угроза.»

🌐 Контекст: Chrome Web Store — резервуар для криптоскамеров

Этот случай — не единичный. Google Chrome остаётся главной мишенью для криптоугроз из-за своей популярности и архитектуры расширений. В 2024–2025 годах было зафиксировано несколько аналогичных инцидентов:

• Сентябрь 2025: четвёртое по популярности расширение-кошелёк в Chrome Web Store оказалось дренажным.
• Август 2025: агрегатор Jupiter сообщил о расширении, которое полностью опустошало Solana-кошельки.
• Июнь 2024: китайский трейдер потерял $1 млн после установки плагина Aggr, который крал cookies и получал доступ к Binance.

Проблема усугубляется тем, что Google не верифицирует функционал крипторасширений. Многие из них проходят модерацию автоматически и остаются в магазине месяцами, даже при наличии зловредного кода. Crypto Copilot — яркий пример «долгоживущей» угрозы, которая действует почти полгода, оставаясь незамеченной из-за своей скрытности.

🛡️ Как защититься: практические шаги для трейдера Solana

1. Никогда не устанавливайте расширения из сторонних источников

Даже если ссылка пришла от «доверенного» автора в X или Telegram. Проверяйте URL Chrome Web Store вручную.

2. Используйте кошельки с детализированным просмотром транзакций

Phantom и другие популярные кошельки скрывают составные инструкции Solana. Рассмотрите альтернативы вроде Solflare или Backpack с расширенным режимом просмотра. Идеально — использовать Solana CLI или Blockaid для анализа транзакций перед подписанием.

3. Проверяйте ID расширения в Chrome

Злоумышленники часто создают клонированные расширения с похожими названиями. У Crypto Copilot — уникальный ID, но пользователи редко его проверяют.

4. Отзывайте права у подозрительных расширений

Если вы когда-либо устанавливали «удобные» Solana-инструменты, зайдите в chrome://extensions и удалите всё, что не используете. Также отзовите все разрешения через revoke.cash или app.revoke.cash для Solana.

5. Включите двухфакторную аутентификацию и ограничения в кошельке

Некоторые кошельки позволяют установить лимиты на переводы или требовать подтверждение через email/Telegram для транзакций свыше определённой суммы.

🧩 Дополнительные данные: кто стоит за Crypto Copilot?

Socket не раскрыл личность создателя, но проанализировал кошелёк получателя — 9fX...vQr. На момент ноября 2025 года на нём накопилось уже несколько сотен SOL, что эквивалентно десяткам тысяч долларов. Интересно, что средства не выводились сразу, а хранились на кошельке, что может указывать на дальнейшее использование в DeFi или попытку «отмывки» через пулы Raydium или Orca.

Кроме того, код расширения содержит обфусцированные скрипты, которые подключаются к внешнему API для динамического обновления адреса получателя — это позволяет злоумышленнику менять кошельки, усложняя отслеживание.

✅ Реакция экосистемы и Google

Socket подала запрос на удаление Crypto Copilot в Chrome Web Store ещё в октябре 2025 года. На момент публикации расширение всё ещё доступно, несмотря на очевидные признаки мошенничества. Это вновь поднимает вопрос о неэффективности модерации Google в сфере Web3.

Сообщество Solana отреагировало оперативно: в Discord и X начали распространяться предупреждения, а Jupiter и Raydium добавили Crypto Copilot в чёрные списки своих dApp — теперь при попытке свопа через это расширение пользователь увидит предупреждение.

🔮 Будущее: как предотвратить подобные атаки?

Эксперты предлагают несколько решений:

• Обязательная верификация всех инструкций в UI кошельков — пользователь должен видеть каждую операцию до подписания.
• Сертификация расширений через независимые аудиторские компании (например, OpenZeppelin, Trail of Bits).
• Интеграция антивирусных проверок на уровне Solana Wallet Standard.
• Образовательные кампании от Solana Foundation по безопасному использованию браузерных инструментов.

Как заявил исследователь из Kudelski Security: «Следующая волна криптобезопасности будет фокусироваться не на смарт-контрактах, а на точках взаимодействия пользователя — браузерах, кошельках и расширениях.»

✅ Заключение: безопасность начинается с вкладки Chrome

Crypto Copilot — тревожный сигнал для всей экосистемы Solana и Web3 в целом. Он показывает, что даже «небольшая» утечка может нанести серьёзный ущерб при масштабе. В эпоху, когда DeFi становится массовым, нельзя доверять удобству — особенно если оно обещает «торговать из соцсетей».

Пользовательская бдительность, прозрачность транзакций и жёсткая модерация расширений — единственный путь к безопасному будущему. Потому что в Solana, как и везде в крипте, вы — последняя линия обороны.