Chrome tarayıcısı için geliştirilen bir uzantı, kripto para ticareti sırasında Solana kullanıcılarının fonlarını gizli ücretler yoluyla çalıyor. Crypto Copilot adlı uzantı, Raydium takas işlemlerine gizli transfer ücretleri ekleyerek her ticaretten bir kısmını saldırganın kontrolündeki cüzdana yönlendiriyor. Socket güvenlik araştırmacısı Kush Pandya, bulguları 25 Kasım 2024’te açıkladı ve uzantının 7 Mayıs 2024’ten beri Chrome Web Store’da mevcut olduğunu belirtti.
Crypto Copilot, “sjclark76” adlı kullanıcı tarafından yayınlandı. Uzantı, X platformunda kripto para ticareti yapmak için gerçek zamanlı içgörüler ve sorunsuz yürütme vaat ediyor. Ancak Raydium işlemlerini manipüle ederek, kullanıcı imzası almadan önce her takasa SystemProgram.transfer komutunu sessizce ekliyor.
Malicious kod, en az 0,0013 SOL veya işlem miktarının %0,05’i kadar ücret alıyor; hangisi büyükse o uygulanıyor. Bu ücret, protokol hazinesine değil, saldırganın kişisel cüzdanına gönderiliyor. Pandya’ya göre, “Bu transfer sessizce ekleniyor ve kullanıcılar her talimatı incelemedikçe fark etmiyor.”
Uzantı, zararlı davranışını gizlemek için kod minifikasyonu ve değişken yeniden adlandırma gibi karmaşık gizleme teknikleri kullanıyor. Kullanıcı arayüzünde yalnızca standart takas detayları görünüyor; ek transfer belirtilmiyor. Crypto Copilot ayrıca, bağlı cüzdanları kaydetmek ve kullanıcı etkinliğini izlemek için crypto-copilot-dashboard.vercel.app adresindeki bir backend ile iletişim kuruyor.
Kayıtlara göre uzantı yalnızca 12 indirmeye sahip olsa da, 26 Kasım 2024 itibarıyla Chrome Web Store’da indirilmeye açık kaldı. Araştırmacılar, Crypto Copilot’un DexScreener ve Helius RPC gibi meşru servisleri kullanarak güvenilirlik görünümü yarattığını belirtiyor. Socket’in analizine göre, altyapı Chrome Web Store incelemesini geçmek ve arka planda ücret siphoning yapmak için tasarlanmış.
Güvenlik uzmanları, Crypto Copilot’un kaldırılmasını talep ediyor. Solana tüccarlarına, işlem talimatlarını imzalamadan önce dikkatle incelemelerini ve tanıdık olmayan tarayıcı uzantılarından kaçınmalarını öneriyorlar.
