Gizli bir tarayıcı uzantısı olan ‘Crypto Copilot’, Socket siber güvenlik firmasınca tespit edilmeden önce aylarca kullanıcıların Solana takaslarından işlem ücretlerini çaldı. Chrome Web Store’da Haziran 2025’ten itibaren mevcut olan uzantı, Raydium kullanıcıları için bir ticaret asistanı gibi görünüyordu ancak meşru takas işlemleriyle birlikte gizli transfer talimatlarını da yürütüyordu.
Kurulumdan sonra ‘Crypto Copilot’, her DEX takas paketine ek bir talimat enjekte etti ve takas miktarının 0.0013 SOL’ünü veya %0.05’ini saldırganın kontrolündeki bir cüzdana yönlendirdi. Solana’da atomik işlem yürütme özelliğini kullanarak uzantı, cüzdan arayüzü uyarılarını aşarak farkında olmayan kullanıcıların hem amaçlanan hem de zararlı transferleri aynı anda onaylamasına neden oldu.
Zincir üstü analiz şu ana kadar çok az sayıda kurban ortaya koydu ve toplam kayıp minimum düzeydeydi. Ancak istismar işlem hacmiyle orantılı olarak doğrusal biçimde büyüyebilir ve yüksek hacimli işlem yapan tüccarlardan önemli miktarlarda para çalabilir. Örneğin, 100 SOL’lük bir takas işleminde her işlem başına 0.05 SOL yönlendirilir; bu, mevcut piyasa kurlarıyla yaklaşık 10$ değerindedir.
Güvenlik uzmanları uzantının arka uç altyapısının operasyonel olgunluğa sahip olmadığını belirtti. Ana alan adı cryptocopilot.app, genel bir barındırma hizmetinde barındırılıyordu, ancak gösterge paneli uç noktası yazım hataları içeriyordu ve boş sayfalar döndürüyordu. Bu tür ihmaller, istismarın gelişmiş devlet destekli bir kampanyadan ziyade amatör tehdit aktörleri veya serbest çalışan bir çaba tarafından başlatıldığına işaret ediyor.
Chrome Web Store süreçleri, otomatik inceleme mekanizmalarına rağmen uzantının canlı kalmasına olanak tanıdı. Socket, resmi bir kaldırma talebinde bulundu, ancak raporlama anında kaldırma işlemi beklemede idi. Kullanıcılara, kurulu uzantıları denetlemeleri, imzalama ayrıcalıklarını geri çekmeleri ve tehlikeli aracı kullandıysa fonlarını yeni cüzdanlara taşıması önerildi.
Kripto borsa platformları ve cüzdan sağlayıcılarının, eklenen talimatları tespit etmek için uzantı beyaz listeleme kontrolleri, çok imzalı onay akışları ve gerçek zamanlı işlem çözümlemesi uygulamaları hayata geçirmeleri gerektiği belirtildi. Endüstri paydaşları, tipik takas kalıplarından sapan birleşik işlemleri işaret etmek için geliştirilmiş sezgisel yöntemleri değerlendirmeye devam ediyor.
Özellikle bu olay, tarayıcı uzantılarına imzalama ayrıcalıkları verilmesinin doğurduğu daha geniş riskleri vurguluyor; kapalı kaynak kodu zararlı mantığı saklayabilir. Topluluk odaklı denetimler, açık kaynaklı araçlar ve merkezi olmayan imzalama protokolleri, zincir üstü varlık akışlarını korumak için azaltıcı stratejiler olarak önerilmiştir.
DeFi faaliyeti arttıkça bu saldırı, kullanıcı arayüzü katmanında sıkı güvenlik standartlarının gerekliliğini ortaya koyuyor. Geliştiriciler ve saklayıcılar, kullanıcı onaylarının belirli zincir üstü talimatları doğru yansıtmasını sağlamak için kolaylık özelliklerini sağlam güvenlik kontrolleriyle dengelemek üzere birlikte çalışmalıdır. Böyle önlemler olmadan benzer ücret akıtmalar veya fon yönlendirme istismarları platformlar arasında yayılabilir.
Araştırmacılar, saldırgan cüzdanını daha fazla işlem için izlemeye ve çalıntı fonları izlemek amacıyla kolluk kuvvetleriyle koordinasyon kurmaya devam ediyor. Solana topluluğu, borsa operatörleri ve siber güvenlik firmaları, tehdit istihbaratını paylaşmak ve merkezi olmayan ticaret ortamlarında güvenli tarayıcı etkileşimleri için en iyi uygulamaları güçlendirmek üzere birlikte çalışıyor.
Yorumlar (0)