Imaginez que vous fassiez un simple swap de tokens sur Solana, directement depuis votre navigateur, et qu’à votre insu une partie de vos fonds disparaisse à chaque transaction. Pas une grosse partie, juste assez pour que vous ne vous en rendiez pas compte tout de suite… C’est exactement ce qui arrive avec l’extension Chrome « Crypto Copilot ».
Ce qui se présentait comme un outil pratique pour trader du SOL depuis Twitter cachait en réalité un mécanisme de vol automatisé d’une rare discrétion. L’affaire a été mise au jour par l’équipe de sécurité Socket, et le moins que l’on puisse dire, c’est que ça fait froid dans le dos.
Crypto Copilot : le piège parfait qui passait inaperçu
Lancée mi-2024 sur le Chrome Web Store, Crypto Copilot promettait de transformer votre timeline Twitter en plateforme de trading instantané sur Solana. L’idée était séduisante : voir un token qui pump, cliquer, swapper en deux secondes sans quitter la page. Beaucoup d’utilisateurs ont mordu à l’hameçon.
Mais derrière cette façade ultra-pratique se cachait un code malveillant d’une sophistication effrayante.
Comment le vol était-il organisé ?
À chaque fois qu’un utilisateur validait un swap via Crypto Copilot, l’extension ajoutait en douce une instruction supplémentaire à la transaction Solana : un SystemProgram.transfer qui envoyait automatiquement :
- 0,05 % du montant échangé
- ou un minimum de 0,0013 SOL
…vers un wallet contrôlé par l’attaquant.
Le pire ? L’utilisateur ne voyait que le swap principal dans l’interface de confirmation. L’instruction de transfert supplémentaire était totalement masquée. Sur Phantom ou Solflare, le résumé affichait uniquement le trade légitime. Le vol était atomique : impossible à annuler une fois la signature donnée.
« L’utilisateur approuve ce qu’il croit être une seule transaction, alors qu’en réalité deux instructions s’exécutent : le swap + le transfert parasite. C’est indétectable sans analyser le payload brut. »
Socket Threat Research Team
Une ingénierie du mal particulièrement soignée
Le code de l’extension était volontairement obfuscé : variables renommées, tout minifié, chaînes codées en base64. Un vrai cauchemar à analyser. De plus, Crypto Copilot communiquait avec un backend hébergé sur crypto-coplilot-dashboard.vercel.app (notez l’orthographe douteuse du domaine) pour enregistrer les wallets connectés et tracker l’activité.
Le domaine officiel cryptocopilot.app ? Toujours en parking. Aucun tableau de bord fonctionnel. Un signe qui ne trompe pas pour les connaisseurs.
Les techniques utilisées par Crypto Copilot pour passer sous les radars :
- Code minifié + obfuscation poussée
- Instructions cachées dans les transactions Raydium
- Transfert via SystemProgram (indétectable par la plupart des wallets)
- Pourcentage faible (0,05 %) pour rester discret
- Backend sur Vercel avec domaine typo-squatté
Pourquoi ce scam est particulièrement dangereux
Contrairement aux scams classiques qui vident un wallet d’un coup (et déclenchent immédiatement l’alerte), Crypto Copilot jouait la carte de la discrétion absolue. Un utilisateur moyen pouvait perdre plusieurs dizaines voire centaines de dollars avant de se rendre compte de quoi que ce soit.
Pour un degen qui fait 50 swaps par jour sur des memecoins, les pertes pouvaient devenir très conséquentes sans qu’aucune transaction suspecte n’apparaisse dans l’historique.
C’est l’exemple parfait du « slow rug » appliqué aux extensions navigateur.
Comment Socket a découvert le pot aux roses
L’équipe de Socket, spécialisée dans la sécurité des protocoles DeFi, a analysé l’extension suite à des signalements d’utilisateurs qui trouvaient leurs soldes SOL étrangement en baisse.
En désassemblant le code et en simulant des transactions, ils ont rapidement repéré l’instruction parasite injectée à chaque swap Raydium. Le wallet destinataire était hardcodé dans le code minifié.
Depuis la publication du rapport, l’extension a été retirée du Chrome Web Store… mais combien d’utilisateurs l’ont-ils encore installée ?
Les précédents : on prend les mêmes et on recommence
Malheureusement, Crypto Copilot n’est pas une première. Ces dernières années, plusieurs extensions malveillantes ont déjà ciblé les utilisateurs crypto :
- 2022 : Fausses extensions Phantom qui vidaient les wallets
- 2023 : Extensions MetaMask piégées sur Chrome Web Store
- 2024 : Plusieurs outils « Twitter trading » compromis
À chaque fois, le même schéma : promesse d’une fonctionnalité ultra-pratique, code malveillant dissimulé, vol discret ou brutal.
Comment se protéger concrètement en 2025
Face à ce genre de menace, quelques réflexes peuvent vous sauver :
- Vérifiez toujours le nombre d’instructions dans la transaction avant de signer (Phantom commence à l’afficher clairement)
- Préférez les applications officielles (Phantom, Backpack, Solflare) plutôt que des extensions tierces
- Méfiez-vous des outils « trop beaux pour être vrais » (trading direct depuis Twitter… vraiment ?)
- Utilisez un wallet secondaire pour tester les nouvelles extensions
- Lisez les avis récents sur le Chrome Web Store et cherchez le nom de l’extension sur Twitter + « scam »
Et surtout : prenez l’habitude de vérifier vos transactions sur Solana Explorer ou Solscan après chaque swap important. Un petit réflexe qui peut vous éviter de grosses pertes.
« Dans 99 % des cas, si une extension vous promet de trader plus vite que les autres… c’est qu’elle va surtout vous plumer plus vite. »
Un vieux degen repenti
Le mot de la fin
L’affaire Crypto Copilot nous rappelle une vérité brutale : dans la crypto, la commodité a un prix. Parfois, ce prix c’est votre stack entière.
Tant que les stores d’extensions resteront des far west et que les utilisateurs privilégieront la vitesse à la sécurité, ce genre d’attaque continuera.
Alors la prochaine fois qu’une extension vous promet la lune en un clic, demandez-vous : est-ce que ça vaut vraiment le risque ?
Parce que dans le cas de Crypto Copilot, le copilote n’était pas là pour vous aider à naviguer… mais pour vous faire crasher.
