إضافة Chrome Crypto Copilot تخفي بشكل سري رسوم المتداولين في Solana

المصدر: PortaldoBitcoin العنوان الأصلي: إضافة كروم تحرف رسوم المتداولين من سولانا منذ شهور الرابط الأصلي: https://portaldobitcoin.uol.com.br/extensao-do-chrome-desvia-taxas-de-traders-de-solana-ha-meses/ توسيع لمتصفح كروم، يُسوّق كأداة تداول عملية، يقوم بسرقة سولانا (SOL) من معاملات المستخدمين منذ يونيو الماضي، مضيفاً رسوم خفية في كل معاملة بينما يتنكر كمساعد تداول شرعي لسولانا.

اكتشفت شركة الأمن السيبراني Socket الإضافة الضارة Crypto Copilot أثناء “المراقبة المستمرة” لمتجر Chrome الإلكتروني، وفقًا لما ذكره المهندس وباحث الأمن Kush Pandya.

تحليل الامتداد الخبيث

في تحليل مفصل للامتداد الخبيث، كتب بانديا أن Crypto Copilot يضيف بهدوء تعليمات نقل إضافية إلى كل عملية تبادل سولانا، مستخرجًا حد أدنى قدره 0.0013 SOL أو 0.05% من قيمة الصفقة إلى محفظة يتحكم فيها المهاجم.

“أشار ماسحنا الضوئي المدعوم بالذكاء الاصطناعي إلى عدة مؤشرات: تشويش عدواني على الكود، عنوان سولانا مضمن في منطق المعاملة، وعدم توافق بين الوظائف المعلنة للإضافة والسلوك الفعلي للشبكة”، قال باندي، مضيفًا أن “هذه التحذيرات أثارت تحليلًا يدويًا أعمق أكد الآلية الخفية لاستخراج الرسوم”.

تشير الأبحاث إلى المخاطر في أدوات العملات المشفرة المستندة إلى المتصفح، وخاصة الملحقات التي تجمع بين التكامل مع وسائل التواصل الاجتماعي وميزات توقيع المعاملات.

نقص الشفافية

تظل الإضافة متاحة في متجر Chrome على الويب لعدة أشهر، دون أي إشعار للمستخدمين حول الرسوم غير المعلنة، المخفية في كود معقد للغاية، وفقًا للتقرير.

“سلوك الرسوم لا يتم الكشف عنه أبدًا على صفحة الامتداد في متجر Chrome الإلكتروني، والمنطق الذي ينفذه مخفي في كود معقد للغاية”، كما أشار باندي.

في كل مرة يقوم فيها المستخدم بتبادل الرموز، تقوم الإضافة بإنشاء تعليمات التبادل الصحيحة لـ Raydium، ولكنها تضيف بشكل غير ملحوظ تحويلًا إضافيًا يوجه SOL إلى عنوان المهاجم.

رايديام هو تبادل لامركزي ومنصة لتداول الأصول الرقمية الآلية تعتمد على عملة سولانا، بينما تشير “تبادل رايديام” ببساطة إلى تبادل رمز برمز آخر من خلال برك السيولة الخاصة بها.

تأثير على المستخدمين

المستخدمون الذين قاموا بتثبيت Crypto Copilot، معتقدين أنه سيبسط تداولاتهم مع Solana، دفعوا، دون علمهم، رسومًا مخفية في كل تبادل، رسوم لم تظهر أبدًا في مواد التسويق الخاصة بالامتداد أو في قائمة Chrome Web Store.

تظهر الواجهة تفاصيل الصفقة فقط، وتلخص النوافذ المنبثقة من المحفظة المعاملة، بحيث يقوم المستخدمون بتوقيع ما يبدو أنه تبادل واحد، حتى لو تم تنفيذ كلا التعليمتين في وقت واحد على البلوكشين.

محفظة المهاجم تلقت فقط مبالغ صغيرة حتى الآن، وهي علامة على أن Crypto Copilot لم يصل بعد إلى العديد من المستخدمين، وليس دليلاً على أن الثغرة الأمنية ذات مخاطر منخفضة، كما ورد.

هيكل الرسوم

آلية الرسوم تتناسب مع حجم المعاملة. بالنسبة للتبادلات التي تقل عن 2.6 SOL، يتم تطبيق رسم أدنى قدره 0.0013 SOL، وفوق هذا الحد، يبدأ تطبيق رسم نسبي قدره 0.05%. وهذا يعني أن تبادل 100 SOL سيكلف 0.05 SOL، حوالي 10 دولارات أمريكية بأسعار اليوم.

النطاق الرئيسي للامتداد، cryptocopilot.app، مسجل في GoDaddy، بينما الواجهة الخلفية تعرض فقط صفحة فارغة، على الرغم من جمع بيانات المحافظ، وفقًا للتقرير.

توصيات الأمان

أرسل Socket طلب إزالة إلى فريق الأمان في متجر Chrome الإلكتروني من Google. توصي المنصة المستخدمين:

• راجعوا كل تعليمات قبل توقيع المعاملات
• تجنبوا إضافات التداول ذات الشيفرة المغلقة التي تطلب أذونات التوقيع
• قم بترحيل أصولك إلى محافظ نظيفة إذا كنت قد قمت بتثبيت Crypto Copilot

السياق: معايير البرمجيات الخبيثة في التشفير

البرمجيات الضارة لا تزال مصدر قلق متزايد لمستخدمي العملات المشفرة. في سبتمبر، تم اكتشاف نوع من البرمجيات الضارة يسمى ModStealer يستهدف محافظ العملات المشفرة على أنظمة Windows وLinux وmacOS من خلال إعلانات مزيفة لتوظيف الوظائف، مما تمكن من التهرب من اكتشاف برامج مكافحة الفيروسات الرئيسية لمدة تقارب الشهر.

لقد حذر مدير التكنولوجيا في شركات الأمن السيبراني من أن المتسللين قد قاموا باختراق حسابات المطورين، مع وجود رمز خبيث يحاول بهدوء تغيير عناوين محفظة العملات المشفرة أثناء المعاملات عبر عدة سلاسل كتل.