Tiện ích Crypto Copilot trên Chrome bị tố đánh cắp Solana(SOL) của người dùng

Tiện ích mở rộng “Crypto Copilot” trên Chrome bị tố âm thầm đánh cắp Solana của người dùng

Một báo cáo công bố ngày 24 cho biết tiện ích mở rộng trình duyệt Chrome mang tên “Crypto Copilot” đã bị phát hiện đánh cắp tiền mã hóa Solana (SOL) từ ví người dùng, trong khi ngụy trang như một công cụ giao dịch hợp pháp.

Theo trang bảo mật blockchain OtterSec, “Crypto Copilot” được thiết kế nhằm giả danh một trình hỗ trợ giao dịch trên nền tảng mạng xã hội X. Giao diện của nó kết nối với công cụ dữ liệu DexScreener, đồng thời liên kết ví Solana một cách mượt mà, khiến người dùng tin rằng đây là một công cụ phân tích và hoán đổi tiền số thông thường. Nhưng thực tế, khi người dùng ký xác nhận giao dịch, tiện ích này tự động chen thêm một lệnh phụ nhằm chuyển một lượng nhỏ *Solana (SOL)* đến ví của kẻ tấn công.

Điểm khiến vụ việc trở nên nguy hiểm là giao dịch phụ này không hiển thị trong giao diện ví tiêu chuẩn. Người dùng phải trực tiếp kiểm tra cấu trúc giao dịch thì mới phát hiện có lệnh chuyển tiền bất thường. Hơn nữa, số tiền bị rút thường rất nhỏ – được xem như một “phí dịch vụ ẩn” – nhằm tránh bị nghi ngờ. Trong một số trường hợp, hàm lượng *Solana (SOL)* bị chiếm đoạt chỉ tương đương vài đơn vị Lamport (đơn vị nhỏ nhất của Solana), nhưng nếu lặp lại hàng nghìn lượt thì thiệt hại tích lũy sẽ rất nghiêm trọng.

Bên cạnh kỹ thuật chèn lệnh đánh cắp tài sản, một lớp mã JavaScript đã bị phát hiện là hoàn toàn *bị làm rối (obfuscation)* – tức được mã hóa để che giấu mục đích thực sự. Ngoài ra, mã độc của tiện ích này còn kết nối đến một miền “giả backend” được dùng để thu thập thông tin ví của người dùng và ghi nhận các lịch sử giao dịch.

Bình luận với TokenPost, các chuyên gia lưu ý rằng trên chuỗi, hành vi chuyển SOL nói trên trông như một khoản thanh toán bình thường có giá trị nhỏ, khiến việc xác định địa chỉ ví tấn công là hết sức khó khăn nếu không có phân tích sâu về dữ liệu giao dịch. Dù thiệt hại cuối cùng chưa được tiết lộ, các nhà phân tích cho rằng kịch bản tương tự như các vụ tấn công lừa đảo (phishing) đang được lặp lại với mức độ tinh vi ngày càng cao.

Bình luận từ giới phân tích an ninh còn chỉ ra rằng vụ việc liên quan đến tiện ích mở rộng "Crypto Copilot" phản ánh xu hướng gia tăng tội phạm tiền mã hóa tận dụng mô hình “giao dịch tiện lợi” để vô hiệu hóa sự cảnh giác của người dùng. Hơn nữa, sự việc có khả năng lan rộng sang các công cụ hỗ trợ trình duyệt khác trong hệ sinh thái *Solana (SOL)* hay thậm chí cả nền tảng đa chuỗi như Ethereum(ETH), Avalanche(AVAX) và Polygon(MATIC).

Để giảm nguy cơ trở thành nạn nhân, các chuyên gia đề xuất người dùng chỉ cài đặt những tiện ích mã nguồn mở được công bố trên GitHub và đã được kiểm định cộng đồng. Việc kiểm tra chi tiết lịch sử giao dịch trên ví như Phantom cũng nên được thực hiện thường xuyên. Không chỉ vậy, người dùng cần rèn luyện thói quen xem lại toàn bộ lệnh giao dịch – kể cả trên các sàn giao dịch phi tập trung phổ biến như *Raydium* – để phát hiện kịp thời mọi thao tác đã bị lén sửa đổi.

Tóm lại, vụ việc của *Crypto Copilot* một lần nữa nhấn mạnh rằng ngay cả những tiện ích có vẻ ngoài hợp pháp vẫn có khả năng chứa rủi ro bảo mật nghiêm trọng. Trong thế giới tiền mã hóa, sự cảnh giác và hiểu biết luôn là yếu tố sống còn.