Crypto Copilot adiciona uma transferência não exibida ao usuário antes da assinatura da transação e direciona valores para uma carteira fixa controlada pelo operador.
| Componente | Extensão Crypto Copilot publicada na Chrome Web Store, com lógica acionada durante swaps Solana no Raydium. |
| Vetor | Código ofuscado acrescenta uma instrução SystemProgram.transfer à transação de swap antes da solicitação de assinatura pelo usuário. |
| Impacto | Transferência oculta de no mínimo 0,0013 SOL ou 0,05% do valor negociado, enviada para uma carteira fixa embutida no código. |
| Prioridade | Remover a extensão, revisar transações assinadas com carteiras Solana, auditar instruções adicionadas a swaps e bloquear domínios associados. |
| Artefatos | Domínios defangados crypto-coplilot-dashboard.vercel[.]app e cryptocopilot[.]app; uso de DexScreener e Helius RPC como serviços legítimos no fluxo. |
| Exposição | A extensão foi publicada em 7 de maio de 2024 por sjclark76, tinha 12 instalações e permanecia disponível no momento descrito no contexto. |
Uma extensão maliciosa para Chrome chamada Crypto Copilot foi identificada com capacidade de alterar silenciosamente transações de swap na rede Solana quando o usuário interage com Raydium. A extensão se apresenta como um complemento para negociação de criptoativos diretamente no X, com promessa de insights em tempo real e execução integrada, mas a lógica interna descrita no caso adiciona uma transferência extra que não é destacada na interface mostrada ao usuário.
O comportamento principal não depende de roubo direto de credenciais ou de uma página falsa de autenticação. O abuso ocorre no momento mais sensível do fluxo: a montagem da transação que será assinada pela carteira. Antes de o usuário aprovar a operação, o código acrescenta uma instrução de transferência SOL para uma carteira fixa controlada pelo operador. Como a interface exibe apenas os detalhes esperados do swap, a cobrança paralela tende a passar despercebida por usuários que não inspecionam cada instrução da transação antes da assinatura.
A cadeia observada é centrada em manipulação de transação, não em exploração de uma falha do Raydium. O Raydium funciona como uma DEX e AMM na blockchain Solana, e a extensão se aproveita do fluxo legítimo de swap para inserir uma operação adicional. Quando o usuário inicia a troca, o código ofuscado da extensão é acionado e acrescenta uma chamada SystemProgram.transfer à mesma transação que contém a operação esperada de swap. O resultado é uma transação composta: uma parte executa a troca pretendida, enquanto outra envia uma taxa oculta para a carteira embutida no código.
A cobrança descrita possui duas condições. Para transações menores, o valor mínimo transferido é de 0,0013 SOL. Para swaps acima de 2,6 SOL, a lógica aplica 0,05% do valor negociado. O ponto defensivo relevante é que a transferência é anexada antes do pedido de assinatura; portanto, a carteira ainda solicita aprovação do usuário, mas a visibilidade prática depende da clareza da carteira e da atenção do usuário às instruções internas. O uso de minificação e renomeação de variáveis reduz a legibilidade do código e dificulta a identificação manual rápida da rotina maliciosa.
A extensão também se comunica com um backend em crypto-coplilot-dashboard.vercel[.]app para registrar carteiras conectadas, obter dados de pontos e referências e reportar atividade de uso. Outro domínio associado, cryptocopilot[.]app, não apresentava produto real no material analisado. A presença de serviços legítimos como DexScreener e Helius RPC cria uma aparência operacional plausível, mas não altera o fato técnico de que a transferência adicional vai para uma carteira pessoal, não para uma tesouraria de protocolo ou mecanismo transparente de taxa.
A superfície exposta envolve usuários que instalaram a Crypto Copilot no Chrome e usaram a extensão em fluxos de swap Solana vinculados ao Raydium. O risco é particularmente relevante para carteiras que exibem uma visão simplificada da transação, pois o usuário pode confirmar a operação acreditando que está aprovando apenas a troca de ativos. A extensão tinha 12 instalações no momento descrito, o que limita o alcance conhecido, mas o impacto por usuário pode se acumular em várias operações assinadas.
Ambientes corporativos que permitem extensões não gerenciadas em navegadores usados para finanças, tesouraria, pesquisa de criptoativos ou operações Web3 devem tratar o caso como abuso de cadeia de confiança do navegador. Mesmo sem uma campanha ampla, a publicação em loja oficial cria uma camada de credibilidade inicial. A data de publicação informada, 7 de maio de 2024, também torna necessária a revisão histórica para qualquer usuário que tenha mantido a extensão instalada por longos períodos.
- Navegadores Chrome com a extensão Crypto Copilot instalada.
- Carteiras Solana usadas para assinar swaps no Raydium a partir do navegador afetado.
- Contas e estáções onde extensões de criptoativos são permitidas sem inventário, aprovação ou auditoria de código.
- Transações Solana que contenham swap esperado e uma transferência SOL adicional para carteira não reconhecida.
A investigação defensiva deve começar pelo inventário de extensões do Chrome. Procure por Crypto Copilot, pelo desenvolvedor sjclark76, por datas de instalação compatíveis e por permissões concedidas ao complemento. Em estáções de trabalho, a presença da extensão deve ser correlacionada com uso de carteiras Solana, acessos ao Raydium e registros de navegação relacionados ao backend defangado. A ausência de um produto real nos domínios associados aumenta o valor desses indicadores para triagem.
No plano de blockchain, a telemetria útil está nas instruções das transações assinadas pelo usuário. O padrão de interesse é uma transação de swap que também contenha uma transferência SOL separada para uma carteira desconhecida, com valores compatíveis com 0,0013 SOL ou com cálculo proporcional de 0,05% em operações acima de 2,6 SOL. A defesa deve evitar publicar listas extensas de carteiras ou transformar a análise em guia de reprodução; o objetivo é confirmar se a carteira da organização ou do usuário assinou instruções inesperadas e estimar perda condicionada às transações encontradas.
- Extensão Crypto Copilot instalada ou histórico de instalação em perfis Chrome.
- Conexões para
crypto-coplilot-dashboard.vercel[.]appecryptocopilot[.]app. - Swaps no Raydium acompanhados de instrução
SystemProgram.transfernão esperada. - Transferências de 0,0013 SOL ou de percentual compatível com 0,05% do valor negociado.
- Uso de DexScreener e Helius RPC no mesmo fluxo, sem tratar esses serviços legítimos como maliciosos por si só.
A resposta imediata é remover a extensão dos navegadores afetados e bloquear sua reinstalação por política de gerenciamento. Em seguida, equipes devem revisar carteiras usadas em swaps Solana durante o período de exposição conhecido, priorizando contas que operaram pelo Raydium a partir de perfis Chrome com a extensão presente. A análise deve focar nas instruções internas das transações, não apenas no resumo visual exibido pela carteira ou pela interface de swap.
Para reduzir recorrência, organizações devem tratar extensões de navegador como componentes de supply chain. Isso inclui permitir apenas extensões aprovadas, revisar permissões, monitorar novos complementos instalados, bloquear extensões de criptoativos em estáções sem necessidade operacional e manter processo de exceção para equipes que realmente precisam operar Web3. Em fluxos Solana, a validação defensiva deve incluir inspeção de instruções antes da assinatura e alertas para transferências adicionais não relacionadas ao protocolo esperado.
- Remover Crypto Copilot e impedir nova instalação por política de navegador.
- Revisar transações Solana assinadas desde a instalação da extensão, procurando transferências ocultas anexadas a swaps.
- Bloquear ou monitorar os domínios defangados associados ao backend da extensão.
- Exigir inventário e aprovação para extensões de navegador usadas em ambientes com carteiras, chaves ou ativos financeiros.
- Orientar usuários a verificar instruções detalhadas antes de assinar transações, especialmente quando a interface do site mostrar apenas o resumo do swap.
0 Comentários