網路安全公司 Socket 揭露,一款名為「Crypto Copilot」的惡意 Chrome 插件,表面上是一款超方便的 Solana 交易神器,讓使用者可以直接在 X 平台的動態牆上看到熱門代幣就立刻下單交易,但這背後卻暗藏極其狡猾的偷錢機制,正在無聲無息地從使用者錢包裡「抽水」。
(前情提要:安全公司:北韓駭客已滲透 15~20% 加密貨幣企業)
(背景補充:以太坊開發者安裝「惡意 AI 插件」遭駭,加密錢包三天清空,十年資安經驗也沒用)
網路安全公司 Socket 在 11 月 25 日發布的一份最新報告中,揭露了一款名為「Crypto Copilot」的惡意 Chrome 插件,稱其已潛伏在 Chrome 線上應用程式商店長達 5 個多月。Socket 強調,這款插件表面上是一款超方便的 Solana 交易神器,讓使用者可以直接在 X 平台的動態牆上看到熱門代幣就立刻下單交易,號稱「不用跳來跳去,一鍵就能炒幣」。然而,這背後卻暗藏極其狡猾的偷錢機制,正在無聲無息地從使用者錢包裡「抽水」。
這不是一次清空錢包,而是像水蛭一樣慢慢吸血
與過去常見的「簽署一筆交易就把錢包全部偷光」的作案手法不同,Crypto Copilot 採取的是「溫水煮青蛙」策略。簡單來說,當你用它在 Raydium(Solana 上的自動做市商平台)換幣時:
- 你以為自己只簽了一筆「A 幣換 B 幣」的正常交易。
- 其實該插件偷偷在這筆交易裡多塞了一條完全看不見的指令:把你錢包裡的 SOL(最少 0.0013 顆,或交易金額的 0.05%)直接轉給駭客。
- 而由於 Solana 的交易是「原子性」的,因此這兩件事會在同一秒內同時完成,你在 Phantom 或 Solflare 的確認畫面只會看到「Swap」,根本不會跳出第二筆轉帳提醒。
Crypto Copilot 每次交易只抽一點點錢,很多人完全不會發現,駭客就這樣日積月累地吸血。因此,這種「低調抽成」的方式比直接清空錢包更難被用戶發現,也更容易長期存活。
該怎麼保護自己?三步驟立刻執行
1. 立刻檢查並移除插件
打開 Chrome → 右上角拼圖圖示 → 擴充功能 → 管理擴充功能,看看有沒有「Crypto Copilot」。只要有,馬上停用並移除!
2. 把錢趕快轉到新錢包
就算你已經移除了該插件,之前簽過的權限可能還在。建議直接新建一個從沒連結過這款插件的錢包,把大部分資產轉過去,同時把舊錢包的所有網站權限全部取消。
3. 以後交易多看一眼
在 Phantom、Solflare 等錢包簽名前,記得點開「詳細資訊」或「模擬交易」,確認裡面只有一筆 Swap,沒有莫名其妙的 System Transfer(系統轉帳)指令。
Socket 補充稱,其已正式向 Google 提出下架申請。但動區最後再次提醒所有投資者:再方便的工具,只要是閉源插件、又要求你簽署交易,都要確認是否安全再考慮使用。
