Solana ticaret topluluğunda yeni bir tehdit ortaya çıktı. Güvenlik araştırmacıları, Crypto Copilot adında, kullanışlı ticaret özellikleri sunuyor gibi görünen ancak işlemler sırasında kullanıcılardan gizlice kripto para birimini çeken kötü amaçlı bir Chrome uzantısı keşfetti.
18 Haziran 2024’te Chrome Web Mağazası’nda yayınlanan uzantı, yasal bir araç kullandıklarına inanan yüzlerce tüccarın fonlarını sessizce çalarken, kullanılabilir kalmayı başardı.
Uzantı, doğrudan X sosyal medya platformundan hızlı takaslar gerçekleştirmek isteyen Solana yatırımcıları için kusursuz bir çözüm olarak konumlanıyor.
Phantom ve Solflare gibi popüler cüzdanlara bağlanır, DexScreener’dan gerçek zamanlı token verilerini görüntüler ve işlemleri Solana’daki en büyük merkezi olmayan borsalardan biri olan Raydium aracılığıyla yönlendirir.
Pazarlama materyalleri, herhangi bir gizli maliyetten veya ekstra işlemden bahsetmeden hız, kolaylık ve tek tıklamayla ticaret vaat ediyor.
Socket.dev güvenlik analistleri, uzantının kod yapısında yerleşik olan kötü amaçlı davranışı tespit etti. Çekici arayüzün arkasında, kullanıcının bilgisi olmadan çalışan karmaşık bir ücret çalma mekanizması yatıyor.
Bir kullanıcı her takas yaptığında, uzantı, minimum 0,0013 SOL veya toplam ticaret tutarının %0,05’ini saldırganın kontrol ettiği bir cüzdan adresine yönlendiren açıklanmayan bir transfer enjekte eder: Bjeida13AjgPaUEU9xrh1iQMwxZC7QDdvSfg730xQff7.
Saldırı Mekanizması
Saldırı, işlem yapısını blockchain düzeyinde manipüle ederek çalışıyor. Kullanıcılar bir takas başlattığında, uzantı ilk önce meşru Raydium takas talimatını oluşturur.
Daha sonra, SOL’yi kullanıcının cüzdanından doğrudan saldırganın adresine taşıyan SystemProgram.transfer komutunu içeren ikinci bir talimatı sessizce ekler.
Kullanıcı arayüzü yalnızca takas ayrıntılarını görüntüleyerek sahte bir meşruiyet duygusu yaratıyor. Çoğu cüzdan onay ekranı, bireysel talimatları vurgulamadan işlemlerin bir özetini gösterir; böylece kullanıcılar, her iki talimat zincir üzerinde birlikte yürütülürken tek bir işlem gibi görünen bir işlemi imzalar.
.webp)
Soket araştırmacıları ayrıca ücret hırsızlığının ötesinde ek kötü amaçlı işlevler de keşfetti. Uzantı, kullanıcıların bağlı cüzdan genel anahtarlarını kriptodaki bir arka uç sunucusuna sızdırıyor[.]yardımcı pilot kontrol paneli[.]vercel[.]app/api/users, gizlilik ihlalleri yaratıyor.
Ayrıca yerleşik Helius RPC API kimlik bilgileri, hassas altyapı bilgilerini açığa çıkararak güvenlik risklerini artırır.
Kötü amaçlı kod, tespit edilmekten kaçınmak için varlıklar/popup.js dosyasında ağır bir gizlemeyle sarılmış halde bulunur.
Bu keşiflere rağmen Chrome Web Mağazası girişi değişmeden kaldı ve potansiyel kullanıcılara arka planda meydana gelen gizli ödemeler veya veri toplama konusunda herhangi bir uyarı yapılmadı.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
