برنامه افزودنی ‘Crypto Copilot’ SOL هکر را ارسال می کند: جزئیات – U.Today

طبق گزارش اخیر، برنامه افزودنی کروم “Crypto Copilot” SOL را از همه کسانی که آن را نصب می کنند، می کشد.

به نظر می رسد که این افزونه یک دستیار معاملاتی برای کاربران Solana باشد و به شما امکان می دهد مستقیماً از پست های X (توئیتر) تجارت کنید.

در نگاه اول، کاملاً عادی به نظر می رسد: به کیف پول های استاندارد متصل می شود، داده های قیمت DexScreener را نمایش می دهد و مبادلات را از طریق Raydium، بزرگترین AMM سولانا، هدایت می کند.

اما در زیر این UI، به طور مخفیانه یک دستورالعمل اضافی را به هر تراکنشی که امضا می کنید تزریق می کند.

چگونه کار می کند؟

برنامه افزودنی بی سر و صدا دستور دوم را در پشت صحنه اضافه می کند: انتقال SOL کوچک و مخفی به کیف پول شخصی مهاجم.

شما هرگز این را در رابط کاربری نخواهید دید. کیف پول هایی مانند Phantom فقط خلاصه را نشان می دهند مگر اینکه به صورت دستی لیست دستورالعمل ها را گسترش دهید. بنابراین اکثر کاربران هرگز متوجه انتقال خروجی تعبیه شده در همان تراکنش نمی شوند.

کد استخراج کارمزد به خودی خود ساده است: کارمزد ثابت یا درصد کمی از تراکنش را محاسبه می‌کند، آن را به لامپ تبدیل می‌کند و سپس دستور دوم را بی‌صدا به تراکنش اضافه می‌کند که این مبلغ را به کیف پول مهاجم می‌فرستد.

چیزی که این را خطرناک می کند این است که این منطق در جاوا اسکریپت نسبتاً پیچیده تعبیه شده است. در ظاهر، رابط کاربری کاملاً قانونی به نظر می رسد و فقط تبادل Raydium مورد انتظار را نشان می دهد.

افزونه همچنین به یک دامنه باطنی که دارای اشتباه تایپی است متصل می شود. این دامنه شناسه‌های کیف پول را ثبت می‌کند، فعالیت‌ها را ردیابی می‌کند و وانمود می‌کند که «امتیاز» و ارجاع‌ها را ارائه می‌کند، حتی اگر وب‌سایت واقعی خالی و غیر کاربردی باشد.

به نظر می رسد سرقت زنجیره ای مانند نقل و انتقالات SOL کوچک و معمولی است که در کنار صرافی های قانونی قرار دارند. بنابراین، مگر اینکه کسی دستورالعمل ها را به دقت بررسی کند یا آدرس مهاجم را بداند، وارد عمل می شود. این هزینه عمدا به اندازه کافی کم است که در آن زمان نادیده گرفته شود.