تم القبض على امتداد Chrome الضار "Crypto Copilot" وهو يضخ رسوما خفية في مقايضات Solana

المصدر: CoinEdition العنوان الأصلي: تم القبض على ملحق كروم الخبيث 'Crypto Copilot' وهو يقوم بحقن رسوم مخفية في مبادلات Solana الرابط الأصلي: https://coinedition.com/malicious-chrome-extension-crypto-copilot-caught-injecting-hidden-fees-into-solana-swaps/

الاختراق، الخدعة، والإصلاح

• الاختراق: إضافة كروم تدعى “Crypto Copilot” تضيف سراً رسوم تحويل إلى تبادلات المستخدم.
• الخدعة: إنها تخفي تعليمات SystemProgram.transfer داخل معاملات Raydium الشرعية.
• الإصلاح: يجب على المستخدمين التحقق من تعليمات المعاملات الفردية في معاينة المحفظة الخاصة بهم قبل التوقيع.

تم القبض على ملحق خبيث في المتصفح يتظاهر بأنه أداة تداول سولانا وهو يقوم بسرقة الأموال من المستخدمين عن طريق تعديل حمولة المعاملات في صمت.

حدد الباحثون في الأمن الإلكتروني الإضافة الضارة لمتصفح Chrome التي تسرق سراً كميات صغيرة من SOL من مستخدمي Solana أثناء عمليات التبادل. الإضافة، المسماة Crypto Copilot، تبدو كأداة تداول عادية لكنها تضيف بهدوء تحويلًا إضافيًا إلى كل صفقة.

كيف تعمل الإضافة المزيفة

وجدت فرق بحث التهديدات أن Crypto Copilot كانت متاحة على متجر Chrome منذ يونيو 2024. وتعلن عن نفسها كأداة تسمح للناس بتداول رموز Solana مباشرة من تغذية X الخاصة بهم. يعرض الملحق أسعار الرموز، ويتصل بالمحافظ الشائعة، ويبدو آمنًا تمامًا من الناحية السطحية.

ومع ذلك، عندما يقوم المستخدم بإجراء تبادل، تقوم الإضافة ببناء تعليمات التبادل العادية من Raydium ثم تضيف سراً تعليمات ثانية. التعليمات الإضافية ترسل SOL إلى محفظة يتحكم بها المهاجم دون إخبار المستخدم. الحد الأدنى المأخوذ هو 0.0013 SOL، أو 0.05 في المئة من حجم التبادل إذا كانت الصفقة كبيرة بما فيه الكفاية.

تظهر المحافظ عادةً فقط الملخص الرئيسي للمعاملة. معظم المستخدمين لن يقوموا بتوسيع قائمة التعليمات الكاملة، لذلك لن يلاحظوا أنه يتم توقيع عمليتين منفصلتين في آن واحد.

يبدو شرعيًا من الخارج؛ مشبوه من الداخل

يحاول Crypto Copilot بشدة أن يبدو كمنتج حقيقي ومفيد. إنه يكتشف أسماء الرموز على X، ويعرض بيانات DexScreener، ويدعم محافظ معروفة مثل Phantom و Solflare. كما أنه يطلب فقط أذونات المحفظة الشائعة.

لكن الواجهة الخلفية تكشف الحقيقة. الإضافة ترسل البيانات إلى نطاق ليس لديه موقع ويب حقيقي ويعرض فقط صفحة فارغة. موقعها الرسمي متوقف ولا يستضيف أي منتج يعمل. حتى نطاق الواجهة الخلفية يحتوي على خطأ إملائي في اسمه. تُظهر هذه التفاصيل أن المنشئين لم يخططوا لبناء خدمة تداول حقيقية.

الكود مخفي بشدة وصعب القراءة أيضًا. الأجزاء الرئيسية، بما في ذلك عنوان محفظة المهاجم، مدفونة داخل سكريبتات طويلة ومربكة.

الرسوم المخفية تتجمع مع مرور الوقت

تفرض الإضافة رسومًا على المستخدمين بطريقتين. بالنسبة للتبادلات التي تقل عن 2.6 SOL، تأخذ الحد الأدنى 0.0013 SOL. بالنسبة للتداولات التي تتجاوز هذا المبلغ، تأخذ 0.05 في المئة من التبادل. على سبيل المثال، ستحول صفقة بقيمة 100 SOL سراً 0.05 SOL إلى المهاجم.

حتى الآن، لم يجمع المهاجم الكثير ($6.86)، مما يدل على أن الإضافة لم تنتشر بعد على نطاق واسع. لكن النظام مصمم للتوسع، مما يعني أن المتداولين الأكبر أو الأكثر تكرارًا قد يخسروا مبالغ كبيرة دون أن يعرفوا.

تحذير لمستخدمي سولانا

يقول الباحثون إن هذا الامتداد لم يكن مقصودًا منه العمل كمنتج حقيقي. إنه موجود فقط ليبدو موثوقًا أثناء أخذ الرسوم في الخلفية. يُنصح المستخدمون بتجنب ملحقات المتصفح غير المعروفة، خاصة تلك التي تطلب الوصول إلى المحفظة أو تعد بالتداول بنقرة واحدة.

“قم بتثبيت ملحقات المحفظة فقط من صفحات الناشرين المعتمدين، وليس من نتائج بحث متجر Chrome،” قالت الأبحاث.