明目張膽的隱藏費用騙局：加密貨幣助手如何悄悄榨取Solana交易者

安全研究人員披露，Crypto Copilot，一個Chrome擴展程序，一直在從試圖在Raydium上進行交換的用戶那裏悄悄提取SOL。該擴展程序並不是直接 draining 錢包，而是將一個隱藏的轉帳指令附加到合法交易上，直接將至少0.0013 SOL或0.05%的交易價值 siphoning 到攻擊者的錢包中。

隱藏轉帳如何悄然繞過錢包屏幕

該擴展於2024年6月18日在Chrome網上應用店上線，由開發者帳號“sjclark76”發布，旨在成爲緊跟X的交易者的完美伴侶，承諾通過與DexScreener集成以獲取定價、與Helius連接以獲取區塊鏈訪問以及與Phantom和Solflare等主流錢包的整合，實現直接從動態信息中進行即時交換。

當用戶發起交換時，擴展程序會在交易到達錢包之前靜默地修改該交易。

惡意代碼注入了一條額外的 SystemProgram.transfer 指令，將資金路由到一個硬編碼的接收地址。由於合法的交換和盜竊合並爲一個原子交易，錢包的確認屏幕僅顯示預期的交易詳情。額外的轉帳保持隱形，除非用戶有意識地展開並檢查每條指令，而這一步驟只有少數交易者會執行。

該擴展的原始碼被嚴重壓縮和隱藏，而其所謂的官方網站 cryptocopilot.app 仍然是一個沒有功能內容的 GoDaddy 停放域名。截至2025年11月27日，擴展 Crypto Copilot 仍然可以在 Chrome 網上應用店中找到，已知的安裝數量僅爲 12 和 15。

用戶在爲時已晚之前必須做的事情

該虹吸方案於2025年11月25日由安全公司Socket披露，經過對該擴展的全面逆向工程。根據研究員Kush Pandya的說法，轉帳會悄悄添加並轉發到個人錢包，而不是任何協議的錢庫，這意味着大多數受害者在簽署之前不會注意到，除非他們仔細審查每一條指令。

Socket已向Google提交了移除請求。這一事件發生在對Solana用戶的一系列類似攻擊之後，包括在2024年8月被標記的Bull Checker擴展和在2025年11月早些時候被標記的另一個高排名錢包，這些錢包使用類似的策略。

曾經安裝過加密貨幣副駕駛的用戶被建議立即刪除該擴展，遷移剩餘資金到一個新錢包，並使用 revoke.cash 等服務撤銷所有相關授權。

向前看，建議交易者和投資者在簽署之前手動審核每筆交易指令，特別是在使用第三方瀏覽器擴展與Solana協議互動時。

本文章最初發表爲《明目張膽的隱藏費用騙局：加密貨幣助手如何悄悄掏空Solana交易者》，刊登在加密貨幣最新動態——您可信賴的加密貨幣新聞、比特幣新聞和區塊鏈更新來源。