币圈子讯：互联网安全公司Socket在11月25日发布的一份最新报告中，揭露了一款名为「Crypto Copilot」的恶意Chrome插件，称其已潜伏在Chrome线上应用程序商店长达5个多月。Socket强调，这款插件表面上是一款超便捷的SOL买卖利器，让用户可以直接在X平台的动态墙上看到热点代币就立刻下单买卖，号称「不需要跳来跳去，一键就能炒币」。然而，这背后却隐藏极其狡猾的偷钱机制，正在悄无声息地从用户钱包里「抽水」。

这不是一次清空钱包，而是像水蛭一样慢慢吸血

与过去容易见到的「签署一笔买卖就把钱包全部偷光」的作案手法不同，Crypto Copilot采取的是「温水煮青蛙」方案。简单来讲，当你用它在Raydium换币时：

• 你以为自己只签了一笔「A币换B币」的正常买卖。

• 其实该插件偷偷在这笔买卖里多塞了一条完全看不见的指令：把你钱包里的SOL直接转给黑客。

• 而因为SOL的买卖是「原子性」的，因此这两件事会在同一秒内同时完成，你在Phantom或Solflare的确认画面只能看到「Swap」，根本不会跳出第二笔转帐提醒。

Crypto Copilot每次买卖只抽一点点钱，不少人完全不会发现，黑客就如此日积月累地吸血。因此，这种「低调抽成」的方法比直接清空钱包更难被用户发现，也更容易长期存活。

该如何保护自己？三步骤立刻实行

1.立刻检查并移除插件

打开Chrome→右上角拼图图示→扩充功能→管理扩展功能，看看有没「Crypto Copilot」。只须有，立刻停用并移除！

2.把钱赶快转到新钱包

即使你已经移除去该插件，之前签过的权限可能还在。建议直接新建一个从没连结过这款插件的钱包，把大多数资产转过去，同时把旧钱包的所有网站权限全部取消。

3.将来买卖多看一眼

在Phantom、Solflare等钱包签名前，记得点开「详细情况」或「模拟买卖」，确认里面只有一笔Swap，没莫名其妙的System Transfer指令。

Socket补充称，其已正式向谷歌提出下架申请。但动区最后第三提醒所有投资者：再便捷的工具，只须是闭源插件、又需要你签署买卖，都要确认是不是安全再考虑用。