‘加密货币副驾’扩展程序将SOL发送给黑客：详情 - U.Today

根据最近的报告，“加密货币副驾驶” Chrome 扩展正在从任何安装它的人那里 siphoning SOL。

该扩展假装是Solana用户的交易助手，让你可以直接从X (Twitter)帖子中执行交换。

表面上看，它看起来完全正常：它连接到标准钱包，显示DexScreener价格数据，并通过Raydium路由交换，这是Solana最大的AMM。

但在那个用户界面之下，它秘密地向您签名的每个交易中注入了一条额外的指令。

它是如何工作的

该扩展在后台悄悄附加了第二条指令：向攻击者的个人钱包进行一次微小的隐蔽SOL转账。

您在用户界面中从未看到它。像 Phantom 这样的钱包仅显示摘要，除非您手动展开指令列表。因此，大多数用户从未注意到同一交易中埋藏的出站转账。

费用提取代码本身很简单：它计算一个微小的固定费用或交易的微小百分比，将其转换为lamports，然后悄悄地向交易添加第二条指令，将该金额发送到攻击者的钱包。

危险之处在于，这种逻辑埋藏在高度混淆的JavaScript中。在表面上，用户界面看起来完全合法，仅显示预期的Raydium交换

该扩展还连接到一个有拼写错误的后端域，记录钱包ID，跟踪活动，并假装提供“积分”和推荐，尽管实际网站是空的且无法使用。

在链上，这笔盗窃看起来像是普通的SOL转账与合法的交换并排而坐。因此，除非有人仔细检查指令或知道攻击者的地址，否则它会融入其中。手续费故意设置得足够小，以至于在当时被忽略。