27 de noviembre de 2025

🚨 “Crypto Copilot”: la extensión de Chrome que roba SOL sin que te des cuenta

🚨 “Crypto Copilot”: la extensión de Chrome que roba SOL sin que te des cuenta

¿Te imaginas que cada vez que haces clic en “Aprobar” en tu wallet, alguien más aprovecha para llevarse una comisión oculta a su propia cuenta?
Pues eso, exactamente eso, estuvo pasando con una extensión que parecía inofensiva.

🧩 ¿Qué pasó realmente?

Una extensión maliciosa de Chrome llamada Crypto Copilot fue descubierta manipulando transacciones en Raydium, uno de los exchanges descentralizados (DEX) más usados dentro del ecosistema Solana.

Lo grave:
Cada vez que el usuario hacía un swap, la extensión inyectaba una transferencia secreta enviando una pequeña cantidad de SOL a la cartera del atacante.

  • A veces era tan poco como 0.0013 SOL.

  • Otras veces aplicaba hasta 0.05% del monto intercambiado.

Todo esto sin que la wallet lo mostrara claramente, lo que convertía el robo en una fuga silenciosa difícil de detectar.

🛠️ ¿Cómo funcionaba el fraude? (Explicado para profesionales de TI)

La extensión se promovía como una herramienta para hacer “swaps rápidos basados en tokens detectados en publicaciones de X (Twitter)”.
Detrás del marketing, escondía dos mecanismos peligrosos:

1️⃣ Pedía permisos amplísimos a la wallet

Permisos para firmar y ver transacciones → demasiado para una extensión “de conveniencia”.

2️⃣ Manipulaba la transacción antes de que el usuario la firmara

Al hacer un swap en Raydium, agregaba una instrucción extra dentro de la misma transacción, la cual:

✔ Transfería SOL a la cartera del atacante
✔ No aparecía como acción separada
✔ No disparaba alertas normales de la wallet

Es decir: técnicamente no estaba cambiando el swap, sino “colándose” dentro de la operación.

Para un usuario final es casi invisible.
Para un programador o técnico → es un abuso directo de los permisos “Signer” que muchas extensiones piden sin justificación.

⚠️ Riesgos principales para usuarios y equipos de TI

Este caso expone un patrón peligroso que afecta directamente a quienes trabajan con:

  • navegadores como entorno de trabajo,

  • wallets con permisos de firma,

  • extensiones que interactúan con blockchain,

  • operaciones DeFi como parte del día a día técnico.

Los riesgos incluyen:

🔸 Robo silencioso de fondos

Transferencias pequeñas pero constantes que pasan desapercibidas.

🔸 Abuso de permisos

Extensiones que solicitan acceso para firmar transacciones “por comodidad”.

🔸 Falsa interfaz de confianza

La transacción manipulada no aparece como algo distinto en la UI de la wallet.

Recomendaciones prácticas (para aplicar hoy mismo)

🔐 1. Evita extensiones no verificadas

Especialmente las que piden permisos excesivos o prometen “automágicamente hacer swaps por ti”.

🔍 2. Revisa siempre los detalles de la transacción

Sí, incluso si tienes prisa.
Busca instrucciones ocultas o montos mínimos que no coincidan.

📊 3. Monitorea transferencias pequeñas

Carteras atacadas suelen mostrar microtransacciones repetidas a direcciones desconocidas.

⛔ 4. Desinstala de inmediato “Crypto Copilot”

Plataformas de seguridad y autoridades ya recomendaron removerla de las tiendas de extensiones.

💼 5. Si eres TI en una empresa

Esto aplica especialmente a roles como administrador, programador, devops o soporte técnico:

  • Bloquea la instalación de extensiones desconocidas en Chrome/Edge.

  • Aplica políticas de lista blanca (allowlist).

  • Monitorea los dispositivos donde se firman transacciones corporativas.

  • Capacita sobre riesgos de firmar desde el navegador.

🌐 Impacto en el ecosistema Solana

Este ataque confirma una tendencia:
los delincuentes ya no solo apuntan a vulnerabilidades en contratos inteligentes, sino al eslabón más fácil de explotar: el usuario que firma desde el navegador.

Esto afecta a:

  • Traders

  • Programadores Web3

  • Proyectos que integran DEXs

  • Empresas que operan con activos en Solana

  • Desarrolladores de wallets y extensiones

El reto inmediato es aumentar la transparencia y el control de lo que realmente se firma en cada transacción.

📡 ¿Quién descubrió el ataque?

El caso fue identificado y documentado por el equipo de investigación de Socket Security, junto con varios medios especializados en Web3 y ciberseguridad, que validaron las pruebas técnicas del funcionamiento malicioso.

Fuente: https://coinpaper.com/12682/malicious-chrome-extension-exposed-for-adding-secret-sol-fees-into-raydium-swaps
Siguiente → ⚠️ RomCom + SocGholish: la combinación p...
Escrito por:
Luis Carreón
📰 Otras noticias del día
⚠️ RomCom + SocGholish: la combinación perfecta para engañar hasta a los mejores equipos de TI
💸 El “Año del ATO”: Fraudes por Toma de Cuenta rebasan los 262 millones USD, según el FBI
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio