Introduction

Un nouveau type de malware ciblant les utilisateurs de la blockchain Solana a récemment fait surface.
Baptisé Crypto Copilot, il se présente sous la forme d’une extension Google Chrome promettant
de simplifier les échanges de tokens directement depuis le fil d’actualité de X (anciennement Twitter).
En réalité, l’extension injecte discrètement une instruction de transfert supplémentaire dans chaque
transaction, siphonnant ainsi une petite partie des fonds vers le portefeuille de l’attaquant.

Fonctionnement technique du malware

Selon les recherches menées par la société de cybersécurité Socket,
Crypto Copilot agit de la façon suivante :

1. L’utilisateur installe l’extension depuis le Chrome Web Store et lui accorde les permissions de signature
   de son portefeuille Solana (Phantom, Solflare, etc.).
2. L’extension ajoute un bouton « Swap » à côté des posts contenant des tokens, permettant d’exécuter un échange
   via le DEX décentralisé Raydium.
3. Lorsqu’un swap est initié, Crypto Copilot génère l’instruction légitime de Raydium, puis injecte une seconde
   instruction SystemProgram.transfer qui transfère au moins 0,0013 SOL (ou 0,05 % du montant)
   vers un portefeuille contrôlé par les attaquants (Bjeida13AjgPaUEU9xrh1iQMwxZC7QDdvSfg73oxQff7).
4. L’interface ne montre que le swap ; la fenêtre de confirmation du portefeuille résume la transaction sans détailler
   les deux instructions, de sorte que l’utilisateur signe ce qui lui apparaît comme une opération unique.

Cette technique diffère des attaques classiques qui vidangent complètement le portefeuille : elle « skimme »
un petit pourcentage à chaque échange, rendant la perte difficile à détecter tant que l’utilisateur ne passe pas
en revue chaque instruction de la transaction.

Impact et portée

Depuis sa mise en ligne le 18 juin 2024, l’extension n’aurait été installée que par
une quinzaine d’utilisateurs, selon les données de Socket. Malgré ce nombre limité, le modèle d’attaque montre
le potentiel d’une escalade rapide si l’extension venait à être promue davantage ou à être ré‑hébergée sur
d’autres stores.

Les frais prélevés sont modestes : 0,0013 SOL (environ 0,19 USD) ou 0,05 % du montant de l’échange,
ce qui passe souvent inaperçu pour les traders effectuant de petites transactions.

Réactions de la communauté et mesures prises

• Demande de retrait : Socket a soumis une requête de retrait à l’équipe de sécurité du Chrome Web Store.
  À ce jour, l’extension reste disponible, mais le processus de retrait est en cours.
• Avis des experts : les spécialistes recommandent de revérifier chaque instruction avant de signer,
  d’éviter les extensions à code fermé demandant des permissions de signature et de réinitialiser les clés si l’on suspecte
  une infection.
• Signalement : les utilisateurs sont encouragés à signaler toute activité suspecte via les canaux de support de leurs
  portefeuilles (Phantom, Solflare, etc.) et à révoquer les autorisations de l’extension depuis la page de gestion des sites connectés.

Comment se protéger ?

Voici une checklist pratique à appliquer dès maintenant :

1. Vérifiez chaque instruction : avant de confirmer une transaction Solana, ouvrez le détail des instructions
   (souvent accessible via le bouton « View Details » du portefeuille) et assurez‑vous qu’aucune instruction SystemProgram.transfer
   non prévue n’apparaît.
2. Évitez les extensions non vérifiées : n’installez que des extensions provenant de sources officielles ou de développeurs
   reconnus. Méfiez‑vous des promesses de « trading en un clic depuis X ».
3. Révoquez les permissions : dans les paramètres de votre portefeuille, supprimez toutes les autorisations accordées à
   Crypto Copilot (ou à tout site inconnu).
4. Migrez vos fonds : créez un nouveau portefeuille « propre », transférez-y vos actifs et ne réutilisez pas les clés
   compromises.
5. Restez informé : suivez les alertes de sécurité publiées par les équipes de recherche (Socket, Cointelegraph,
   Cybernews, etc.) et les bulletins de votre exchange ou wallet.

Conclusion

Crypto Copilot illustre parfaitement la nouvelle vague de menaces ciblant les utilisateurs de cryptomonnaies
via des vecteurs de type « extension de navigateur ». Même si le nombre d’utilisateurs affectés reste faible aujourd’hui,
le principe de l’attaque (injection d’instructions cachées) peut être répliqué à grande échelle. La vigilance, la
vérification manuelle des transactions et la limitation des permissions accordées aux applications tierces restent les
meilleures défenses contre ce type de malware.

Restez prudents, protégez vos clés privées et n’hésitez pas à partager cet article pour sensibiliser la communauté Solana !