Socket’deki güvenlik araştırmacıları, meşru bir Solana ticaret aracı gibi görünen ve kullanıcıların takas işlemlerinden SOL’u gizlice çeken Crypto Copilot adlı aldatıcı bir Chrome uzantısını ortaya çıkardı.
18 Haziran 2024’te yayınlanan kötü amaçlı uzantı, kullanıcıların gerçekleştirdiği her işleme gizli transfer talimatları yerleştirerek açıklanmayan ücretleri ortaya çıkarıyor.
Crypto Copilot, kullanıcıların “X feed’inizden anında işlem yapmalarını” sağlayan kullanışlı bir araç olarak kendisini Chrome Web Mağazası’nda pazarlıyor.
Uzantı, Phantom ve Solflare dahil popüler Solana cüzdanlarıyla entegre oluyor, DexScreener’dan token verilerini görüntülüyor ve işlemleri Raydium üzerinden yönlendiriyor.
X’te (eski adıyla Twitter) hızlı hareket eden token lansmanlarını takip eden yatırımcılar için, doğrudan sosyal medya akışlarından tek tıklamayla işlem yapma vaadi cazip geliyor.
Ancak Web Mağazası listesinde ücretlerden, gizli transferlerden veya herhangi bir ek ücretten bahsedilmiyor; bu, uzantının kötü amaçlı tasarımının merkezinde yer alan kritik bir ihmaldir.
İyi huylu arayüzün arkasında, SOL’u şüphelenmeyen kullanıcılardan çıkarmak için tasarlanmış karmaşık kod yatıyor.
Meşru Raydium takas talimatlarını derledikten sonra uzantı, sabit kodlanmış parametreleri kullanarak bir platform ücreti hesaplar ve saldırganın cüzdanına SOL göndermek için gizli bir SystemProgram.transfer talimatını ekler: Bjeida13AjgPaUEU9xrh1iQMwxZC7QDdvSfg73oxQff7.
Ücret yapısı, kullanıcılardan 0,0013 SOL veya takas tutarının %0,05’i kadar ücret alır. Bu, 2,6 SOL’un altındaki işlemlerin sabit minimum ücrete tabi olduğu, daha büyük işlemlerin ise yüzde bazlı ücreti tetiklediği anlamına gelir. Örneğin, 100 SOL takası, saldırgana doğrudan 0,05 SOL kazandıracaktır.
Kötü amaçlı kod, ücret alma mantığını gizlemek için agresif küçültme ve değişken yeniden adlandırma kullanıyor.
Kritik olarak, ek giden transfer, yasal takasla aynı işlemin içine yerleşiyor ve çoğu cüzdan onay ekranı, bireysel talimatları net bir şekilde ortaya çıkaramıyor.
Kullanıcılar bilmeden tek bir takas işlemi gibi görünen bir işlemi imzalarken, her iki talimat da zincir üzerinde atomik olarak yürütülür.
Fabrikasyon Bir Altyapı
Analiz, uzantının crypto-coplilot-dashboard’daki bir arka uçla bağlantıları koruduğunu ortaya koyuyor[.]vercel[.]Uygulama, görünüşte cüzdan kaydı, puan takibi ve yönlendirme raporlaması için.
Ancak araştırma ne arka uç alanını ne de ana web sitesini (cryptocopilot) gösteriyor[.]app) herhangi bir işlevsel ürünü barındırır.
Arka uç alan adı yalnızca boş bir yer tutucu yüklerken ana web sitesi GoDaddy tarafından park edilmiş halde durur.
Arka uç ana bilgisayar adındaki “yardımcı pilot” yerine “kopilot” yazım hatası, herhangi bir meşru ticaret platformuyla tutarsızdır ve kötü amaçlı operasyonlara özgü tek kullanımlık altyapıyı akla getirir.
Bugüne kadar zincir içi analizler, saldırganın cüzdanına sınırlı ücret transferleri gösteriyor; bu da muhtemelen düşük riskten ziyade düşük dağıtımı yansıtıyor.
![crypto-coplilot-dashboard uzantısı tarafından kullanılan arka uç alanı[.]vercel.app yüklenir.](https://cdn.sanity.io/images/cgdhsj6q/production/e7a75ebe07ebc88e52afd11fffabd0b46d25d725-2048x625.png?w=1600&q=95&fit=max&auto=format)
crypto-coplilot-dashboard[.]vercel.app yükler.Bununla birlikte mekanizma doğrudan işlem hacmi ve boyutuna göre ölçeklenir. Önemli miktarda varlıkları olan aktif tüccarlar, zamanla önemli hale gelebilecek kümülatif kayıplarla karşı karşıya kalır ve bu durum, uzatmayı operatör için tekrar eden bir gelir mekanizmasına dönüştürür.
Kullanıcılara Yönelik Öneriler
Bu yazının yazıldığı sırada Crypto Copilot, Chrome Web Mağazası’nda mevcut olmasına rağmen Socket, Google güvenlik ekibine bir yayından kaldırma isteği gönderdi.
İmza izinleri isteyen kapalı kaynaklı ticari uzantılardan kaçının ve cüzdan uzantılarını Chrome Web Mağazası arama sonuçları yerine yalnızca doğrulanmış yayıncı sayfalarından yükleyin.
Crypto Copilot’u kuran kullanıcılar, varlıkları derhal temiz cüzdanlara taşımalı ve bağlı tüm siteleri iptal etmelidir.
İleriye dönük olarak, özellikle Solana’da, imzalamadan önce işlemlerdeki her talimatı gözden geçirin ve beklenmedik SystemProgram.transfer talimatlarını izleyin.
Benzer modellerin diğer Solana ve EVM ticaret uzantılarında da ortaya çıkması muhtemeldir ve bu da dikkatli olmayı zorunlu kılmaktadır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.