Chrome Extension Caught Injecting Hidden Solana Transfer Fees Into Raydium Swaps
2025/11/26 TheHackerNews — Chrome Web Store に存在する新たな悪意のエクステンションを、サイバー・セキュリティ研究者たちが発見した。このエクステンションは、スワップ取引に Solana の送金を巧妙に挿入し、攻撃者が管理する仮想通貨ウォレットへと資金を送金する機能を備えている。
Crypto Copilot と名付けられたエクステンションの公開は、2024年5月7日に sjclark76 というユーザーにより行われている。開発者は、「このブラウザ・アドオンによるリアルタイムの分析とシームレスな実行により、X 上で仮想通貨を直接取引するための機能が提供される」と説明している。この拡張機能は 12 件インストールがあり、この記事の執筆時点でもダウンロードが可能である。
Socket のセキュリティ研究者である Kush Pandya は 11月25日 (火) のレポートで、「このエクステンションのインターフェイスの背後では、すべての Solana スワップ取引に追加の送金を挿入し、少なくとも 0.0013 SOL、すなわち取引額の 0.05% を、攻撃者が管理するハードコードされたウォレットで流用している」と述べている。
具体的に言うと、このエクステンションには難読化されたコードが組み込まれており、ユーザーが Raydium スワップを実行すると、同一の署名済みトランザクションに未公開の SOL 転送を挿入する操作が実行される。Raydium とは、Solana ブロックチェーン上に構築された、分散型取引所 (DEX) および自動マーケットメーカー (AMM) のことである。
このエクステンションは、ユーザーによる署名が要求される前に、各スワップに非表示の SystemProgram.transfer util メソッドを追加することで動作し、コードに埋め込まれたハードコード・ウォレットに手数料を送金する。
その手数料は取引量に基づいて計算され、スワップの場合は最低 0.0013 SOL、スワップ額が 2.6 SOL を超える場合には 2.6 SOL とスワップ額の 0.05% が課金される。この悪意のある挙動への検出を回避するために、最小化や変数名の変更といった手法により隠蔽されている。
このエクステンションは、”crypto-coplilot-dashboard.vercel[.]app” というドメインでホストされるバックエンドと通信し、接続されたウォレットの登録、ポイントと紹介データの取得、ユーザー・アクティビティの報告を行う。このドメインは、”cryptocopilot[.]app” などと同様に、実際のプロダクトをホストしていない。
この攻撃で特に注目すべき点は、ユーザーが隠れたプラットフォーム手数料についてまったく知らされず、ユーザー・インターフェイスにはスワップの詳細しか表示されないことである。さらに、Crypto Copilot は、DexScreener や Helius RPC といった正規のサービスを利用することで、見かけ上の信頼性を装っている。
Kush Pandya は、「この送金の手口は、プロトコルの金庫ではなく個人のウォレットにサイレントに追加されるため、署名前に各指示を細かく確認しないかぎり、ほとんどのユーザーは気付かないだろう。この攻撃で用いられるインフラは、Chrome Web Store の審査を通過し、見せかけの正当性を与えながら、その裏側で手数料を吸い上げることだけを目的として設計されているように見える」と述べている。
便利そうに見える Chrome エクステンションが、ユーザーが Solana 取引を行う際に、こっそりと余分な送金を差し込んでいたとのことです。問題の原因は、スワップ処理のトランザクションを書き換えるように仕込まれた難読化コードと、そのコードが Chrome Web Store にも掲載できてしまう審査の甘さにあります。ユーザーから見ると正規サービスと同じ画面で動いているため、不自然さに気付きにくい構造になっていると、この記事は指摘しています。よろしければ、Extension での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.