Kötü niyetli Chrome uzantıları, Solana yatırımcılarından gizlice ücret çalıyor.

Kaynak: PortaldoBitcoin Orijinal Başlık: Chrome Uzantısı, Solana Trader'larının Ücretlerini Aylardır Sapıtıyor Orijinal Bağlantı: Chrome için pazarlanan pratik bir ticaret aracı olarak sunulan bir uzantı, geçen hazirandan beri kullanıcıların işlemlerinden Solana (SOL)'yi gizlice saptırıyor, her işlemde gizli ücretler enjekte ederken Solana'nın meşru bir ticaret asistanı gibi davranıyor.

Siber güvenlik şirketi Socket, mühendis ve güvenlik araştırmacısı Kush Pandya'nın bildirdiğine göre, Chrome Web Store'daki “sürekli izleme” sırasında Crypto Copilot adında kötü amaçlı bir uzantıyı keşfetti.

Kötü niyetli bir analizde, Pandya Crypto Copilot'un her Solana değişim işleminin üzerine sessizce ekstra bir transfer talimatı eklediğini, saldırganın kontrolündeki bir cüzdana işlem değerinin en az %0,05'ini veya 0,0013 SOL'u çektiğini yazdı.

“AI tarayıcımız birçok gösterge tespit etti: kodun agresif gizlenmesi, işlem mantığına gömülü bir Solana adresi ve uzantının beyan edilen işlevselliği ile ağın gerçek davranışı arasındaki tutarsızlıklar,” dedi Pandya ve “bu uyarılar, gizli ücret çıkarma mekanizmasını doğrulayan daha derin bir manuel analiz başlattı.”

Araştırma, sosyal medya entegrasyonu ve işlem imzalama özelliklerini birleştiren uzantılar özellikle tarayıcı tabanlı kripto araçlarında riskler olduğunu göstermektedir.

Raporun belirttiğine göre, uzantı Chrome Web Store'da aylardır mevcut kalmış, kullanıcıların yüksek derecede karmaşık bir kodda gizli olan açıklanmayan ücretler hakkında hiçbir uyarı almadığı belirtiliyor.

“Ücretlerin davranışı asla Chrome Web Store'daki uzantı sayfasında yayınlanmaz ve bunu uygulayan mantık, son derece karmaşık bir kodda gizlidir,” diye belirtti Pandya.

Bir kullanıcı token değiştiğinde, uzantı doğru Raydium değişim talimatını oluşturur, ancak gizlice saldırganın adresine SOL yönlendiren ekstra bir transfer ekler.

Raydium, Solana kripto para birimi üzerine kurulmuş merkeziyetsiz ve otomatik bir piyasa yapıcı borsa iken, “Raydium değişimi” yalnızca bir tokenin diğerine likidite havuzları aracılığıyla değiştirilmesini ifade eder.

Crypto Copilot'ı kuran kullanıcılar, bunun Solana ile olan işlemlerini basitleştireceğini düşünerek, her alışverişte gizli ücretler ödemektedirler; bu ücretler, uzantının pazarlama materyallerinde veya Chrome Web Store'daki listesinde asla görünmemiştir.

Arayüz sadece takasın detaylarını gösterir ve cüzdan pencereleri işlemi özetler, böylece kullanıcılar, her iki talimatın aynı anda blockchain üzerinde yürütülmesine rağmen, tek bir takas gibi görüneni imzalarlar.

Saldırıcının cüzdanı şu ana kadar yalnızca küçük miktarlar aldı, bu da Crypto Copilot'un henüz birçok kullanıcıya ulaşmadığını gösteriyor ve zayıflığın düşük riskli olduğuna dair bir işaret değil, rapor edildiği gibi.

Ücret mekanizması, işlemin boyutuna orantılıdır. 2,6 SOL'un altındaki değişimlerde minimum 0,0013 SOL ücreti uygulanır ve bu limitin üzerindeki işlemlerde %0,05'lik bir oransal ücret devreye girer. Bu, 100 SOL'luk bir değişimin yaklaşık 0,05 SOL, yani mevcut fiyatlarla yaklaşık 10 ABD Doları olacağı anlamına gelir.

Uzantının ana alan adı GoDaddy'de kayıtlı, ancak arka uç sadece boş bir sayfa gösteriyor, cüzdan verilerini toplamasına rağmen, rapora göre.

Socket, Google Chrome Web Store güvenlik ekibine bir kaldırma talebi göndermiştir, ancak uzantı yayınlanma anında mevcut kalmıştır.

Platform, kullanıcıların her talimatı imzalamadan önce gözden geçirmelerini, imza izinleri talep eden kapalı kaynaklı ticaret uzantılarından kaçınmalarını ve Crypto Copilot'u yükledilerse varlıklarını temiz cüzdanlara taşımalarını önerir.

Kötü amaçlı yazılım standartları

Kötü amaçlı yazılım, kripto para kullanıcıları için artan bir endişe olmaya devam ediyor. Eylül ayında, ModStealer adlı bir kötü amaçlı yazılım varyantı, sahte iş ilanları aracılığıyla Windows, Linux ve macOS sistemlerinde kripto para cüzdanlarını hedef alırken, başlıca antivirüs yazılımlarının tespitinden neredeyse bir ay boyunca kaçmayı başardı.

Bir cüzdan platformunun teknoloji direktörü Charles Guillemet, kötü niyetli yazılımların çoklu blok zincirlerinde işlemler sırasında kripto para cüzdanı adreslerini sessizce değiştirmeye çalıştığı NPM'in bir geliştirici hesabının tehlikeye atıldığını daha önce bildirmişti.