تقوم ملحقات Chrome الضارة بسرقة الرسوم من متداولي Solana سرًا لعدة أشهر

المصدر: PortaldoBitcoin العنوان الأصلي: ملحق Chrome يوجه رسوم المتداولين في سولانا منذ شهور رابط أصلي: امتداد لمتصفح كروم، يُسوَّق كأداة تداول عملية، يقوم بإعادة توجيه سولانا (SOL) من معاملات المستخدمين منذ يونيو الماضي، مضيفًا رسومًا مخفية في كل معاملة بينما يتنكر كمساعد شرعي لتداول سولانا.

اكتشفت شركة الأمن السيبراني Socket الامتداد الضار Crypto Copilot خلال “المراقبة المستمرة” لمتجر Chrome الإلكتروني، كما أفاد المهندس والباحث في الأمن Kush Pandya.

في تحليل للامتداد الضار، كتب بانديا أن كريبتو كوبايلوت يضيف بهدوء تعليمة تحويل إضافية إلى كل معاملة تبادل سولانا، مستخرجًا حدًا أدنى قدره 0.0013 SOL أو 0.05% من قيمة التداول إلى محفظة تتحكم بها الجهة المهاجمة.

“أشار ماسحنا الضوئي للذكاء الاصطناعي إلى عدة مؤشرات: تشويش عدواني على الكود، عنوان سولانا مضمن في منطق المعاملة، واختلافات بين الوظيفة المعلنة للإضافة والسلوك الفعلي للشبكة”، قال بانديا، مضيفًا أن “هذه التنبيهات أثارت تحليلًا يدويًا أعمق أكد آلية الاستخراج الخفية للرسوم”.

تشير الأبحاث إلى المخاطر المرتبطة بالأدوات المشفرة المعتمدة على المتصفح، وخاصة الإضافات التي تجمع بين التكامل مع وسائل التواصل الاجتماعي وميزات توقيع المعاملات.

أفاد التقرير أن الإضافة ظلت متاحة في متجر Chrome الإلكتروني لعدة أشهر، دون أي إشعار للمستخدمين حول الرسوم غير المعلنة، المخفية في رمز معقد للغاية.

“سلوك الرسوم لا يتم الكشف عنه أبدًا على صفحة الإضافة في متجر Chrome الإلكتروني، والمنطق الذي ينفذه مخفي في كود معقد للغاية”، كما أشار باندي.

في كل مرة يقوم فيها المستخدم بتبادل الرموز، تقوم الإضافة بإنشاء تعليمات التبادل الصحيحة لـ Raydium، ولكنها تضيف بشكل غير ملحوظ تحويلًا إضافيًا يوجه SOL إلى عنوان المهاجم.

Raydium هي بورصة لامركزية ومنصة لتداول السوق آلية تعتمد على عملة سولانا المشفرة، بينما تشير “تبادل Raydium” ببساطة إلى تبادل رمز برمز آخر من خلال تجمعات السيولة الخاصة بها.

المستخدمون الذين قاموا بتثبيت Crypto Copilot، معتقدين أنه سيسهل عليهم تداولاتهم مع Solana، دفعوا، دون علمهم، رسومًا مخفية مع كل تبادل، وهي رسوم لم تظهر أبدًا في مواد التسويق الخاصة بالامتداد أو في قائمة متجر Chrome.

تظهر الواجهة تفاصيل التبادل فقط، وتلخص النوافذ المنبثقة من المحفظة المعاملة، بحيث يوقع المستخدمون على ما يبدو أنه تبادل واحد، حتى لو تم تنفيذ كلا التعليمتين في وقت واحد على البلوكشين.

تلقى محفظة المهاجم مبالغ صغيرة فقط حتى الآن، مما يدل على أن Crypto Copilot لم يصل بعد إلى العديد من المستخدمين، وليس مؤشراً على أن الثغرة منخفضة المخاطر، كما تم الإبلاغ عنه.

آلية الرسوم تتناسب مع حجم المعاملة. بالنسبة للعمليات التي تقل عن 2.6 SOL، يتم تطبيق رسم حد أدنى قدره 0.0013 SOL، وفوق هذا الحد، يدخل رسم نسبي قدره 0.05% حيز التنفيذ. هذا يعني أن عملية تبادل بقيمة 100 SOL ستفرض 0.05 SOL، حوالي 10 دولارات أمريكية بأسعار اليوم.

النطاق الرئيسي للامتداد مسجل في GoDaddy، بينما يعرض الواجهة الخلفية صفحة فارغة فقط، على الرغم من جمع بيانات المحافظ، وفقًا للتقرير.

أرسلت Socket طلب إزالة إلى فريق الأمان في متجر Chrome Web Store من Google، على الرغم من أن الإضافة ظلت متاحة في وقت النشر.

توصي المنصة المستخدمين بمراجعة كل تعليمات قبل توقيع المعاملات، وتجنب امتدادات التداول ذات الشيفرة المغلقة التي تطلب أذونات التوقيع، ونقل أصولهم إلى محافظ نظيفة في حالة تثبيتهم لـ Crypto Copilot.

أنماط البرمجيات الخبيثة

لا يزال البرامج الضارة مصدر قلق متزايد لمستخدمي العملات المشفرة. في سبتمبر، تم اكتشاف نوع من البرامج الضارة يسمى ModStealer يستهدف محافظ العملات المشفرة على أنظمة Windows وLinux وmacOS من خلال إعلانات مزيفة للتوظيف، حيث تمكن من الهروب من اكتشاف برامج مكافحة الفيروسات الرئيسية لمدة تقارب شهراً.

حذر مدير التكنولوجيا في منصة المحفظة، تشارلز غيليميت، من أن المهاجمين قد قاموا باختراق حساب مطور على NPM، مع وجود رمز خبيث يحاول بهدوء تغيير عناوين محافظ العملات المشفرة أثناء المعاملات عبر عدة بلوكتشينات.