Kripto işlemleri için Google Chrome uzantısı Solana kullanıcılarını hedef alıyor

Saldırganlar, habersiz Solana kullanıcılarının cebinden küçük SOL'u kalmak için bir ticaret aracı kılığına girmiş kötü niyetli bir Google Chrome uzantısı kullanıyor.

Siber güvenlik firması Socket'in yaptığı araştırmaya göre, Chrome uzantısı şu anda "Crypto Copilot" adıyla Chrome Web Store'da hâlâ aktiv.

Kullanıcıların Solana işlemlerini doğrudan X akışlarından gerçekleştirmesine olanak tanıyan bir verimlilik artırıcı olarak pazarlanıyor.

Uzantı şu anda 1 yıldızlı bir dereceye sahip ve basın zamanı itibarıyla sadece 18 indirme sayısına sahip, ancak 18 Haziran 2024'ten beri aktiv.

Crypto Copilot Solana kullanıcılarını nasıl hedefliyor?

İlk bakışta, Crypto Copilot tüm yasal bir aracın gereksinimlerini karşılıyor; fiyat verileri için DexScreener, Solana altyapı erişimi için Helius ve cüzdan bağlantıları için Phantom veya Solflare gibi çeşitli üçüncü taraf API'leri entegre ediyor. 

Bu özellikler, onu gerçek bir merkeziyetsiz işlem arayüzü gibi gösterir ve işlev görürken, arka planda gizli bir ücreti sessizce çeker.

"Bu hizmetlerin hiçbiri tek başına kötü niyetli değil, ancak birlikte temel sorunun etrafında ikna edici bir görüntü oluşturuyorlar: her takas, sabit kodlanmış bir kişisel cüzdana açıklanmayan bir SOL transferi içeriyor," diye yazdı Socket.

İşlemleri gerçekleştirmek için, kullanıcıların token takas etmesine olanak tanıyan Solana'da merkezi olmayan bir borsa olan Raydium kullanıyor.

Ancak perde arkasında, işlemin küçük bir kısmını saldırganın cüzdanına aktaran ekstra bir talimat ekliyor.

Yüzeyde, kullanıcı sadece beklenen takas detaylarını görür.

Cüzdan onay ekranları, bireysel talimatlar ortaya çıkmadan işlemi özetliyor ve iki eylemin birlikte yürütüldüğüne dair açık bir işaret vermiyor.

İşlemler yürütülürken, kullanıcılardan işlemi yalnızca bir kez onaylamaları istenir ve hem meşru hem de zararlı talimatlar tek bir atomik işlem olarak birlikte yürütülür.

Socket tarafından yapılan zincir içi analiz, saldırganın cüzdanına yapılan sadece sınırlı sayıda transfer olduğunu tespit etti; ekip, bunun uzantının yaygın olarak tanıtılmamış olmasına ya da dağıtımın hâlâ erken aşamalarında olmasına bağlıyor.

Ancak, uzantı verimli ölçeklenebilir şekilde inşa edildi; Socket, potansiyel hasarın takasların büyüklüğü ve sıklığı arttıkça arttığını belirtti.

"Daha büyük varlıklara veya yüksek hacimli işlem faaliyetlerine sahip kullanıcılar, rutin takaslar için farkında olmadan bu uzantıya güvenirlerse çok daha yüksek kayıplar yaşayabilirler. Zamanla, saldırgan doğrudan kişisel cüzdanında SOL biriktiriyor ve bu da uzantı meşru bir DEX arayüzü yerine tekrarlayan bir gelir mekanizmasına dönüştürüyor," diye ekledi Socket.

Socket, kullanıcıları, özellikle Solana'da, imzalamadan önce her işlem talimatını gözden geçirmeleri için uyardı; çünkü bu tür kötü niyetli davranışlar ancak kullanıcı her talimatı manuel olarak genişletip incelerse yakalanabilir.

Crypto Copilot'u zaten kuranlar, fonlarını temiz bir cüzdana aktarmalı ve daha önce bağlanan tüm siteleri derhal iptal etmelidir.

Kötü Amaçlı Chrome uzantıları ortaya çıkmaya devam ediyor

Crypto Copilot, Chrome Web Store'da ortaya çıkan birçok aldatıcı Chrome eklentisinden sadece biri.

Geçen yılın başından beri, kötü amaçlı uzantılar kullanan saldırıların sayısı artıyor ve bazıları milyonlarca çalınan fon kazanmayı başardı.

Geçen yıl Invezz, Solana kullanıcılarını hedef alan ve kendini memecoin kamuoyuna dönüştüren başka bir sahte uzantı Bull Checker hakkında rapor yaptı .

Gerçekte, kullanıcı fonlarını saldırgan kontrolündeki cüzdana yönlendirmek için işlemleri kaçırdı.

Bu arada, Ağustos ayında Koi Security araştırmacıları, GreedyBear olarak bilinen bir grubun zararlı tarayıcı eklentileri, kötü amaçlı yazılımlar ve dolandırıcılık siteleri kullanarak birden fazla saldırı vektörünü kapsayan koordineli bir operasyonda 1 milyon dolardan fazla kripto para aldığını ortaya çıkardı.