‘加密貨幣副駕’擴展程序將SOL發送給黑客：詳情 - U.Today

根據最近的報告，“加密貨幣副駕駛” Chrome 擴展正在從任何安裝它的人那裏 siphoning SOL。

該擴展假裝是Solana用戶的交易助手，讓你可以直接從X (Twitter)帖子中執行交換。

表面上看，它看起來完全正常：它連接到標準錢包，顯示DexScreener價格數據，並通過Raydium路由交換，這是Solana最大的AMM。

但在那個用戶界面之下，它祕密地向您籤名的每個交易中注入了一條額外的指令。

它是如何工作的

該擴展在後臺悄悄附加了第二條指令：向攻擊者的個人錢包進行一次微小的隱蔽SOL轉帳。

您在用戶界面中從未看到它。像 Phantom 這樣的錢包僅顯示摘要，除非您手動展開指令列表。因此，大多數用戶從未注意到同一交易中埋藏的出站轉帳。

費用提取代碼本身很簡單：它計算一個微小的固定費用或交易的微小百分比，將其轉換爲lamports，然後悄悄地向交易添加第二條指令，將該金額發送到攻擊者的錢包。

危險之處在於，這種邏輯埋藏在高度混淆的JavaScript中。在表面上，用戶界面看起來完全合法，僅顯示預期的Raydium交換

該擴展還連接到一個有拼寫錯誤的後端域，記錄錢包ID，跟蹤活動，並假裝提供“積分”和推薦，盡管實際網站是空的且無法使用。

在鏈上，這筆盜竊看起來像是普通的SOL轉帳與合法的交換並排而坐。因此，除非有人仔細檢查指令或知道攻擊者的地址，否則它會融入其中。手續費故意設置得足夠小，以至於在當時被忽略。