W listopadzie 2025 opisano przypadek podejrzanego dodatku do Chrome, który wpływał na transakcje kryptowalutowe w przeglądarce. W jednym zdaniu temat wygląda tak: złośliwe rozszerzenie Chrome potrafi dołożyć dodatkową instrukcję do transakcji i pobrać „niewidoczną” opłatę. Jednocześnie w interfejsie użytkownika zwykle widać tylko standardowy swap, dlatego dodatkową kwotę łatwo przeoczyć.
Złośliwe rozszerzenie Chrome dodające ukryty transfer SOL do swapów
Badacze opisali rozszerzenie „Crypto Copilot” dostępne w Chrome Web Store, reklamowane jako narzędzie do handlu krypto „bezpośrednio na X”. Zgodnie z analizą Socket, dodatek ingerował w transakcję swap na Raydium i dopisywał dodatkowy transfer SOL do portfela kontrolowanego przez operatora rozszerzenia. Taka konstrukcja jest szczególnie zdradliwa, ponieważ użytkownik podpisuje transakcję samodzielnie, a więc z perspektywy łańcucha bloków wszystko wygląda jak „poprawnie autoryzowana” operacja, tylko z dodatkową instrukcją w środku.
Jak działa mechanizm ukrytej opłaty w transakcji
Według Socket, Crypto Copilot budował standardową instrukcję swap Raydium, a następnie dopinał drugą instrukcję transferu SOL (SystemProgram.transfer) jeszcze przed prośbą o podpis. Technicznie opierało się to na dołożeniu transferu do tej samej transakcji, więc oba kroki wykonywały się „atomowo” na łańcuchu, czyli razem, w jednym pakiecie. Dodatkowo kod był utrudniony do analizy, bo używano minifikacji i zaciemniania nazw zmiennych, co utrudnia szybkie zauważenie logiki „fee” w paczce rozszerzenia.
W tym scenariuszu nie ma klasycznego „wyciągania środków bez zgody”. Zamiast tego pojawia się manipulacja tym, co dokładnie jest podpisywane. Dlatego zagrożenie przypomina sytuację, w której interfejs pokazuje jedną operację, natomiast faktycznie zatwierdzany jest zestaw operacji. W praktyce największą przewagę atakujący uzyskuje wtedy, gdy użytkownik działa szybko i nie rozwija szczegółów instrukcji w portfelu.
Dlaczego w portfelu często widać tylko „swap”
Socket zwraca uwagę, że ekrany potwierdzenia w portfelach nierzadko streszczają transakcję jako swap, bez eksponowania każdej instrukcji osobno. To nie jest błąd „samego blockchaina”, tylko sposób prezentacji, który ma upraszczać doświadczenie. Jednak w efekcie dodatkowy transfer SOL może zniknąć w tle, zwłaszcza gdy wygląda jak typowa opłata albo niewielka płatność. Dla zespołów, które budują procesy bezpieczeństwa wokół krypto, to ważny sygnał: samo „podpisywanie w portfelu” nie gwarantuje zrozumienia tego, co jest zatwierdzane.
Zaufanie do dodatków i weryfikacja transakcji
Ten incydent dobrze pokazuje, że „złośliwy dodatek do przeglądarki” nie musi kraść wprost, aby powodować straty. Wystarczy manipulacja tym, co jest podpisywane, dlatego sens ma ostrożność wobec rozszerzeń, które proszą o uprawnienia związane z podpisywaniem transakcji lub wchodzą w interakcję z portfelami. W praktyce zaleca się utrzymywanie możliwie małej liczby dodatków, ponieważ każda dodatkowa wtyczka zwiększa powierzchnię zaufania, a także liczbę aktualizacji i zależności. Ten sposób myślenia rozwija artykuł Bezpieczna przeglądarka: aktualizacje, ustawienia i dodatki bez ryzyka.
Jednocześnie w świecie krypto duże znaczenie ma to, jak potwierdzane są instrukcje w portfelu. Skoro część interfejsów potrafi streszczać transakcję jako „swap”, warto traktować podgląd szczegółów jako element kontroli ryzyka, a nie jako zbędny krok. Socket opisał wprost, że dodatkowy transfer był dokładany przed podpisem, a więc jedynym momentem na wykrycie jest etap zatwierdzania. W efekcie bezpieczeństwo to nie tylko ochrona przed phishingiem, ale też rozumienie, że rozszerzenie może zmienić treść transakcji „w środku”.
Dla osób, które budują nawyki prywatności i bezpieczeństwa szerzej, przydatne bywa osadzenie tego typu newsów w większym kontekście higieny przeglądarki, kont i narzędzi. Taki kontekst zbiera materiał Prywatność w Internecie — praktyczny poradnik dla zwykłych użytkowników, bo pokazuje, że rozszerzenia są tylko jednym z elementów całego łańcucha zaufania. W praktyce im bardziej „handlowe” funkcje przenoszą się do przeglądarki, tym większe znaczenie ma konsekwencja w ograniczaniu dodatków, profili i integracji.
Źródła
https://thehackernews.com/2025/11/chrome-extension-caught-injecting.html
https://socket.dev/blog/malicious-chrome-extension-injects-hidden-sol-fees-into-solana-swaps
https://www.techrepublic.com/article/news-crypto-thieves-steal-solana
https://chromewebstore.google.com/detail/crypto-copilot/iaemdpdnmdkaphnmcogmcgcmhhafcifd