概要:Solanaユーザーを狙う新たな脅威
セキュリティ研究機関Socketが、「Crypto Copilot」と名付けられた悪質なChrome拡張機能が、Solanaユーザーの資産を密かに搾取していることを明らかにしました。この拡張機能は、一見すると正規のSolana取引ツールを装っていますが、実際にはユーザーが行うスワップ取引から隠れたSOL手数料を不正に徴収しています。
マルウェアの巧妙な手口
「Crypto Copilot」は2024年6月18日に公開され、Chromeウェブストアでは「Xフィードから即座に取引を実行できる」と宣伝されていました。PhantomやSolflareといった人気のSolanaウォレットと統合し、DexScreenerからのトークンデータ表示やRaydiumを介した取引ルーティングなど、利便性の高い機能を提供しているかのように見えます。しかし、ウェブストアの記載には手数料や隠れた送金に関する記述は一切なく、これがマルウェアの悪意ある設計の中心となっています。
この拡張機能は、正規のRaydiumスワップ指示を組み立てた後、事前に設定されたパラメータに基づいてプラットフォーム手数料を算出し、その手数料分のSOLを攻撃者のウォレット(Bjeida13AjgPaUEU9xrh1iQMwxZC7QDdvSfg73oxQff7)へ送金するための隠れたSystemProgram.transfer指示を密かに追記します。
手数料は、0.0013 SOLまたはスワップ額の0.05%のいずれか大きい方が適用されます。例えば、100 SOLのスワップでは0.05 SOLが攻撃者に直接送金されることになります。この悪意あるコードは、コードの難読化と変数名の変更を駆使して、手数料徴収ロジックを隠蔽しています。さらに厄介なことに、この追加の送金は正規のスワップと同じトランザクション内に埋め込まれるため、ほとんどのウォレットの確認画面では個々の指示が明確に表示されず、ユーザーは単一のスワップ操作を承認していると誤認してしまいます。
不審なインフラと現状
分析の結果、この拡張機能はcrypto-coplilot-dashboard[.]vercel[.]appというバックエンドに接続していることが判明しました。これはウォレット登録やポイント追跡、紹介レポートのためとされていますが、調査によると、このバックエンドドメインもメインウェブサイト(cryptocopilot[.]app)も、実際には機能する製品をホストしていません。バックエンドドメインは空白のプレースホルダーを読み込むのみで、メインウェブサイトはGoDaddyによってパークされています。バックエンドのホスト名にある「coplilot」というタイプミス自体も、正規の取引プラットフォームとは矛盾しており、悪意ある操作によく見られる使い捨てインフラの典型を示唆しています。
現時点では、攻撃者のウォレットへの手数料送金は限定的ですが、これは配布数が少ないためであり、リスクが低いことを意味するものではありません。このメカニズムは、取引量と取引額が増加するにつれて被害が拡大する可能性があり、活動的なトレーダーは時間とともに累積的な損失を被る可能性があります。
ユーザーへの推奨事項
本記事執筆時点では、「Crypto Copilot」はまだChromeウェブストアで利用可能ですが、SocketはGoogleのセキュリティチームに削除を要請しています。ユーザーは自身の資産を守るために、以下の点に注意し、警戒を怠らないことが極めて重要です。
- 署名許可を要求するクローズドソースの取引拡張機能は避ける。
- ウォレット拡張機能は、Chromeウェブストアの検索結果からではなく、検証済みの発行者ページからのみインストールする。
- 「Crypto Copilot」をインストールしたユーザーは、直ちに資産をクリーンなウォレットに移行し、接続されているすべてのサイトの許可を取り消す。
- 今後、取引を署名する前に、特にSolanaにおいては、トランザクション内のすべての指示を注意深く確認し、予期せぬ
SystemProgram.transfer指示がないか監視する。
同様のパターンは、他のSolanaおよびEVM取引拡張機能にも出現する可能性があり、常に警戒を続けることが不可欠です。