ظهر تهديد جديد في مجتمع تداول سولانا. اكتشفت بصفتي في السيبرانية إضافةً خبيثة لمتصفح كروم تُسمى كريبتو كوبيلوت، تبدو وكأنها تُقدم ميزات تداول سهلة، لكنها تسرق العملات المشفرة سرًا من المستخدمين أثناء المعاملات.
هذا الامتداد على وظل متاحًا بينما كان يسرق الأموال سرًا من مئات المتداولين الذين اعتقدوا أنهم يستخدمون أداة مشروعة.
تُقدّم هذه الإضافة حلاًّ سلساً لمتداولي سولانا الذين يتطلعون إلى تنفيذ عمليات تبادل سريعة مباشرةً من منصة X للتواصل الاجتماعي.
تتصل الإضافة بمحافظ شهيرة مثل P t m وS f e، وتعرض بيانات الرموز في الوقت الفعلي من D S r، وتُوجّه المعاملات عبر R y m، إحدى أكبر منصات التداول اللامركزية على سولانا.
تَعِد المواد التسويقية بالسرعة والراحة والتداول بنقرة واحدة دون ذكر أي تكاليف خفية أو معاملات إضافية.
السلوك الخبيث المُضمّن في بنية شيفرة الإضافة. خلف الواجهة الجذابة، تكمن آلية متطورة لسرقة الرسوم تعمل دون علم المستخدم.
في كل مرة يقوم فيها المستخدم بإجراء عملية مبادلة، يقوم الامتداد بحقن تحويل غير معلن يوجه ما لا يقل عن 0.0013 SOL أو 0.05% من إجمالي مبلغ التداول إلى عنوان محفظة يتحكم فيه المهاجم: B i a13AjgPaUEU9xrh1iQMwxZC7QDdvSfg730xQff7.
آلية الهجوم
يعمل الهجوم عن طريق التلاعب ببناء المعاملات على مستوى سلسلة الكتل. عندما يبدأ المستخدمون عملية تبادل، يُنشئ الامتداد أولًا تعليمة تبادل Rym الصحيحة.
ثم يُضيف بصمت تعليمة ثانية تتضمن أمر SystemProgram.transfer الذي ينقل SOL من محفظة المستخدم مباشرةً إلى عنوان المهاجم.
تعرض واجهة المستخدم تفاصيل المبادلة فقط، مما يُعطي انطباعًا زائفًا بالشرعية. تُظهر معظم شاشات تأكيد المحفظة ملخصًا للمعاملات دون إبراز التعليمات الفردية، لذا يُوقّع المستخدمون ما يبدو معاملة واحدة بينما تُنفَّذ التعليمات معًا على السلسلة.
اكتشفت أيضًا وظائف ضارة إضافية تتجاوز سرقة الرسوم. يقوم الامتداد باستخراج المفاتيح العامة لمحفظة المستخدمين المتصلة إلى خادم خلفي في crypto[.]coo[.]vel[.]app/api/us، مما يُسبب انتهاكات للخصوصية.
علاوة على ذلك، بيانات H s R C المُدمجة معلومات حساسة عن البنية التحتية، مما يُفاقم المخاطر الأمنية.
توجد الشيفرة الخبيثة داخل ملف assets/popup.js، مُغلّفة بتعتيم مُكثّف لتجنب الكشف.
ظلّت قائمة متجر Chrome الإلكتروني دون تغيير على الرغم من هذه الاكتشافات، دون أي تحذير للمستخدمين المُحتملين بشأن الرسوم الخفية أو جمع البيانات الذي يحدث في الخلفية.
.png "English"){kind=small}
0 تعليقات