Gizli Solana Ücretlerini Enjekte Eden Kötü Amaçlı Chrome Uzantısı: Crypto Copilot
Son dönemde siber güvenlik uzmanları, Chrome Web Store’da yer alan ve kullanıcıların bilmeden yaptıkları Solana swap işlemlerine gizli bir transfer ekleyen yeni bir kötü amaçlı uzantı keşfetti. Bu uzantı, kullanıcının kripto para cüzdanından saldırgan kontrolündeki bir cüzdana fon transfer etmektedir.
Crypto Copilot: Kullanıcıların Güvenini Suistimal Eden Bir Araç
“Crypto Copilot” olarak adlandırılan uzantı, 7 Mayıs 2024 tarihinde “sjclark76” kullanıcı adıyla bir geliştirici tarafından yayınlandı. Geliştirici, uzantıyı “X üzerinde gerçek zamanlı içgörülerle ve sorunsuz bir yürütme ile kripto ticareti yapma” yeteneği sunan bir araç olarak tanımlıyor. Şu anda, 12 yüklemeye sahip olan bu uzantı, hala indirilebilir durumdadır.
Uzantının Çalışma Prensibi
Socket güvenlik araştırmacısı Kush Pandya’nın raporuna göre, Crypto Copilot uzantısı, her Solana swap işlemi sırasında ekstra bir transfer ekleyerek, minimum 0.0013 SOL veya ticaret miktarının %0.05’ini saldırgan kontrolündeki bir cüzdana yönlendirmektedir. Uzantı, Raydium swap işlemi gerçekleştiğinde devreye giren obfuscate edilmiş bir kod içeriyor. Bu, Solana tabanlı merkeziyetsiz bir borsa ve otomatik piyasa yapıcıdır.
Uygulama, kullanıcı onayı istenmeden önce her swap işlemine gizli bir SystemProgram.transfer yöntemi eklemekte ve bu ücreti, kodda yer alan hard-coded bir cüzdana göndermektedir. Belirli bir işlem miktarı üzerine, bu ücret, 0.0013 SOL ile 2.6 SOL ve 0.05% arasında değişmektedir. Kötü amaçlı davranışın tespit edilmemesi için minifikasyon ve değişken yeniden adlandırma gibi teknikler kullanılmaktadır.
Kullanıcıların Farkındalığı ve Güvenlik Tehditleri
Bu saldırının dikkat çekici bir yönü, kullanıcıların gizli platform ücretinden tamamen habersiz olmasıdır. Kullanıcı arayüzü yalnızca swap detaylarını göstermekte ve dolayısıyla kullanıcıların ek ücretin farkına varması zordur. Crypto Copilot, DexScreener ve Helius RPC gibi meşru hizmetlerden yararlanarak güven yanılsaması yaratmaktadır. Bu, uzantının görünüşte güvenliymiş gibi görünmesine katkıda bulunmaktadır.
Pandya, “Bu transfer sessizce eklenmekte ve bir kişisel cüzdana gönderilmektedir. Çoğu kullanıcı, imzalamadan önce her bir talimatı denetlemediği sürece bu durumu fark etmeyecektir,” şeklinde belirtmiştir. Uzantının etrafındaki alt yapı, yalnızca Chrome Web Store incelemesini geçmek ve arka planda ücretleri siphonlamak için tasarlandığı izlenimini vermektedir.
Son olarak, kullanıcılara önerimiz, kullanmadığınız veya tanımadığınız uzantıları yüklememek ve her işlem öncesi detayları dikkatlice incelemektir. Kripto para dünyasında güvenlik her zamankinden daha önemli hale gelmiştir ve bu tür saldırılara karşı dikkatli olmak, kullanıcıların kendi varlıklarını korumaları açısından kritik bir öneme sahiptir.
