Waspada, Ekstensi Chrome Berbahaya Ketahuan Sedot SOL dari Pengguna Solana

Sebuah temuan terbaru mengungkap ekstensi Chrome bernama Crypto Copilot yang dipasarkan sebagai alat bantu trading Solana ternyata diam diam mencuri SOL dari penggunanya. Aksi ini dilakukan dengan menyisipkan instruksi transaksi tersembunyi di setiap proses swap di Raydium, sehingga sebagian kecil dana pengguna dialihkan ke wallet milik pelaku.

Menurut laporan Socket yang dirilis Socket pada Rabu (26/11/2025), insinyur keamanan dan peneliti Socket, Kush Pandya, menjelaskan bahwa Crypto Copilot menggunakan kode yang diobfusikasi agresif, memasukkan alamat Solana tertentu ke dalam logika transaksi, serta menunjukkan perilaku jaringan yang berbeda dari fungsi yang diklaim di halaman toko ekstensi.

Baca juga: CEX Upbit Jadi Korban Hack, Rp615 Miliar Raib

Cara Kerja Malware Crypto Copilot

Penemuan ini berasal dari pemantauan rutin Socket terhadap ekstensi di Chrome Web Store. Mereka menemukan bahwa Crypto Copilot menambahkan satu instruksi transfer tambahan pada setiap swap. Nominal yang diambil adalah minimum 0,0013 SOL atau sekitar 0,05% dari nilai transaksi, yang otomatis dikirimkan ke wallet penyerang. Informasi ini tidak pernah ditampilkan di antarmuka ekstensi maupun pada halaman deskripsinya.

Socket menegaskan bahwa pola ini berbahaya karena pengguna hanya melihat detail swap di layar antarmuka, sementara wallet pop up menampilkan ringkasan transaksi seolah hanya ada satu instruksi. Padahal, dua instruksi sekaligus dieksekusi on chain tanpa sepengetahuan pengguna.

Raydium merupakan decentralized exchange (DEX) berbasis Solana yang memfasilitasi pertukaran token melalui liquidity pool. Namun pengguna yang mengandalkan Crypto Copilot untuk mempermudah trading justru membayar biaya tersembunyi di setiap transaksi mereka.

Sejauh ini, jumlah SOL yang masuk ke wallet pelaku masih relatif kecil. Socket menilai hal ini kemungkinan karena jumlah pengguna yang terinfeksi belum banyak, bukan karena mekanisme ini berisiko rendah. Skema pungutan biaya bersifat scalable mengikuti besarnya swap. Untuk transaksi di bawah 2,6 SOL berlaku biaya minimum 0,0013 SOL. Di atas angka itu, biaya mengikuti skema 0,05%. Misalnya, swap 100 SOL akan menghasilkan potongan 0,05 SOL.

Socket juga menemukan bahwa domain utama cryptocopilot[.]app saat ini hanya diparkir oleh GoDaddy. Sementara backend yang digunakan memakai domain salah ketik crypto coplilot dashboard[.]vercel[.]app yang hanya menampilkan halaman kosong meskipun tetap mengumpulkan data wallet pengguna.

Socket telah mengajukan permintaan takedown kepada tim keamanan Chrome Web Store, namun hingga laporan ini ditulis, ekstensi tersebut masih tersedia untuk publik.

Platform keamanan tersebut mengimbau pengguna untuk selalu memeriksa setiap instruksi sebelum menandatangani transaksi, menghindari ekstensi trading tertutup yang meminta izin transaction signing, serta memindahkan aset ke wallet baru jika pernah menginstal Crypto Copilot.

Baca juga: Rumah Mantan Kekasih Bos OpenAI Jadi Target Perampokan Kripto Rp183 M oleh Kurir Palsu

Meningkatnya Risiko Malware bagi Pengguna Kripto

Kasus ini menambah panjang daftar ancaman malware yang menyasar pengguna kripto. Pada September lalu, strain malware bernama ModStealer ditemukan menargetkan wallet di Windows, Linux, dan macOS melalui iklan lowongan kerja palsu, dan sempat lolos dari deteksi antivirus selama hampir satu bulan.

Sebelumnya, CTO Ledger Charles Guillemet juga memperingatkan bahwa akun pengembang NPM pernah diretas dan disusupi kode berbahaya yang bertujuan menukar alamat wallet pengguna secara diam diam pada transaksi lintas blockchain.

Serangkaian kasus ini menunjukkan bahwa ancaman malware pada ekosistem kripto terus berkembang, terutama melalui ekstensi browser dan perangkat lunak pihak ketiga yang memiliki akses terhadap fungsi tanda tangan transaksi.

Baca juga: Hacker Asal Bandung Bobol Platform Trading Kripto Inggris, Rugikan Rp6,6 Miliar