یک افزونه کروم که برای معاملات Solana طراحی شده بود، توسط تیم تحقیقاتی امنیتی Socket شناسایی شده که بهطور مخفیانه بخشی از دارایی کاربران را در هر معامله منحرف میکرد. این افزونه که Crypto Copilot نام دارد، امکان معامله توکن SOL را مستقیماً از پلتفرم X (توئیتر سابق) فراهم میکرد. با این حال گزارش Socket نشان میدهد هر سواپ شامل یک دستور مخفی بود که ۰.۰۵٪ از ارزش معامله – یا حداقل 0.0013 SOL – را به یک کیفپول تحت کنترل مهاجم منتقل میکرد.
این افزونه که از میانه سال ۲۰۲۴ در Chrome Web Store منتشر شده، خود را یک ابزار معاملاتی سریع برای Solana معرفی میکند. کاربران در صفحه تأیید، تنها تراکنش اصلی سواپ را مشاهده میکنند؛ در حالی که دستور انتقال اضافی عمداً پنهان شده است.
استفاده از تکنیکهای مبهمسازی برای مخفی کردن رفتار مخرب
پژوهشگران Socket متوجه شدند این افزونه از روشهای سنگین مبهمسازی مانند کوچکسازی کد و تغییر نام متغیرها استفاده میکند تا منطق مخرب خود را مخفی نگه دارد. همچنین افزونه با یک سرور بکاند در آدرس crypto-coplilot-dashboard.vercel.app ارتباط برقرار میکند که کیفپولهای متصل، فعالیت کاربران و دادههای ارجاعی را ثبت میکند.
دامنه دوم مرتبط با این افزونه، یعنی cryptocopilot.app، غیرفعال است؛ موضوعی که به گفته پژوهشگران با رفتار معمول یک پلتفرم معاملاتی معتبر همخوانی ندارد.
انتقالهای پنهانی رویزنجیره از طریق سواپهای Raydium
Crypto Copilot برای پردازش سواپها از Raydium، بازارساز خودکار مبتنی بر Solana، استفاده میکند. طی هر معامله، افزونه یک دستور SystemProgram.transfer مخفی به تراکنش اضافه میکند که بهصورت اتمی اجرا میشود؛ یعنی هم سواپ قابلمشاهده و هم انتقال پنهان در یک تراکنش واحد انجام میگیرند. در نتیجه کاربران هنگام تأیید یک سواپ ظاهراً معمولی، بهطور ناخواسته انتقال مخرب را نیز تأیید میکنند.
نصب کم اما ریسک تجمعی بالا
با وجود تعداد نصب نسبتاً پایین، Socket هشدار داد که اثر تجمعی این رفتار برای معاملهگران فعال میتواند قابلتوجه باشد. برداشتهای کوچک اما مکرر ممکن است مدتها از چشم کاربران پنهان بماند و همین موضوع خطر ابزارهای مرورگری مرتبط با رمزارز را برجسته میکند.
در سالهای اخیر نیز موارد مشابهی از افزونههای مخرب Chrome و Firefox دیده شده که کاربران MetaMask، Phantom و Coinbase Wallet را هدف گرفتهاند.
پیامدهای گستردهتر برای امنیت رمزارز
حادثه Crypto Copilot بار دیگر آسیبپذیری ابزارهای مرورگرمحور در معاملات کریپتو را یادآوری میکند و نشان میدهد بررسی جزئیات تمام تراکنشها پیش از تأیید چهقدر اهمیت دارد.
با افزایش ابزارهای مرورگری که قابلیت انجام معاملات رویزنجیره را ارائه میدهند، کارشناسان هشدار میدهند که نظارت سختگیرانهتر بر اکوسیستم افزونههای Chrome برای محافظت از کاربران DeFi ضروری است.
Socket به معاملهگران Solana توصیه میکند اعتبار افزونهها را بررسی کنند، دستورهای تراکنش را بهدقت بازبینی کنند و نسبت به هشدارهای امنیت سایبری بهروز باقی بمانند.
