متداولو سولانا مستهدفون من قبل امتدادات مخفي للمتصفحات يسرقون رسوم التبادل

تم اكتشاف إضافة متصفح خفية تحمل اسم 'Crypto Copilot' تسرق عمولات المعاملات من تبادلات سولانا لدى المستخدمين لعدة أشهر قبل أن تتعرّف عليها شركة Socket للأمن السيبراني. وكانت الإضافة متاحة في Chrome Web Store منذ يونيو 2025، وتظاهرت كمساعد تداول لمستخدري Raydium لكنها نفذت تعليمات تحويل مخفية إلى جانب صفقات التبادل الشرعية.

عند التثبيت، أضافت 'Crypto Copilot' تعليمات إضافية إلى كل حزمة تبادل عبر DEX، مما يحوّل إما 0.0013 SOL أو 0.05% من مبلغ التبادل إلى محفظة يسيطر عليها المهاجم. باستخدام تنفيذ المعاملات الذرية في سولانا، تجاوزت الإضافة تحذيرات واجهة المحفظة، مما أدى إلى أن يمنح المستخدمون غير المرتابين الإذن بكل من التحويلات المقصودة والضارة في وقت واحد.

كشفت التحليلات على السلسلة عن عدد قليل من الضحايا حتى الآن، مع خسارة تراكمية بسيطة. ومع ذلك، فإن الاستغلال يتزايد خطياً مع حجم التداول، ما قد يسرق مبالغ كبيرة من المتداولين ذوي الحجم العالي. على سبيل المثال، ستعيد عملية تبادل 100 SOL توجيه 0.05 SOL، وهو ما يعادل نحو 10 دولارات وفقاً لسعر الصرف السائد، في كل معاملة.

وأشار خبراء الأمن إلى أن بنية الواجهة الخلفية لهذا الامتداد تفتقر إلى النضج التشغيلي. كان النطاق الأساسي cryptocopilot.app مستضافاً على خدمة استضافة عامة، بينما احتوت نقطة نهاية لوحة المعلومات على أخطاء مطبوعة، مع عودة صفحات فارغة. مثل هذه الإغفالات تشير إلى أن الاستغلال نشأ من فاعلين تهديد مبتدئين أو من جهد مستقل، وليس من حملة متقدمة مرتبطة بدولة.

سمحت إجراءات متجر Chrome الإلكتروني بقاء الامتداد فعّالاً رغم آليات المراجعة الآلية. قدمت Socket طلب إزالة رسمي، لكن في وقت النشر كانت الإزالة قيد الانتظار. يُنصح المستخدمون بمراجعة الإضافات المثبتة، وإلغاء صلاحيات التوقيع، ونقل الأموال إلى محافظين جدد إذا كانوا قد تفاعلوا مع الأداة المخترقة.

ودُعيت منصات تبادل العملات المشفرة ومزودو المحافظ إلى تطبيق ضوابط قائمة السماح للإضافات، وتدفقات الموافقات متعددة التوقيعات، وفك تشفير المعاملات في الوقت الحقيقي لاكتشاف التعليمات الملحقة. كما يقوم أصحاب المصلحة في الصناعة بتقييم إجراءات استدلالية محسّنة للكشف عن المعاملات المركبة التي تنحرف عن أنماط التبادل المعتادة.

ومن الجدير بالذكر أن الحادث يبرز مخاطر أوسع في منح امتيازات التوقيع لامتدادات المتصفح، حيث قد يخفي الشيفرة مغلقة المصدر منطقاً ضاراً. وقد اقترحت عمليات تدقيق يقودها المجتمع، وأدوات مفتوحة المصدر، وبروتوكولات توقيع لا مركزية كاستراتيجيات للتخفيف للحماية من تدفقات الأصول على السلسلة.

مع ازدياد نشاط التمويل اللامركزي، يبرز الهجوم الحاجة إلى معايير أمان صارمة في طبقة واجهة المستخدم. يجب أن يتعاون المطورون ومقدمو الحفظ على تحقيق توازن بين ميزات الراحة وفحوصات السلامة القوية، مع التأكد من أن موافقات المستخدم تعكس بدقة تعليمات آمنة على السلسلة بشكل منفصل. بدون مثل هذه التدابير، قد تنتشر ثغرات سحب الرسوم أو إعادة توجيه الأموال عبر المنصات.

يستمر الباحثون في رصد محفظة المهاجم لمعاملات إضافية والتنسيق مع أجهزة إنفاذ القانون لتتبع الأموال المسروقة. وتعمل مجتمع سولانا، ومشغلو البورصات، وشركات الأمن السيبراني معاً لتبادل معلومات التهديد وتعزيز أفضل الممارسات لتفاعل آمن في المتصفحات في بيئات التداول اللامركزي.