شرکت امنیت سایبری Socket در یک هشدار فوری تأیید کرد که یک افزونه مرورگر کروم که خود را به عنوان دستیار معاملاتی سولانا معرفی میکرد، ماههاست که بهطور پنهانی و با استفاده از مکانیسمهای پیچیده، سهمی از کارمزدهای معاملات کاربران را به کیف پول مهاجمان هدایت کرده است.
بر اساس گزارشهای فنی منتشر شده توسط این شرکت، این بدافزار با نام «Crypto Copilot» از ماه ژوئن در فروشگاه وب کروم فعال بوده و بهطور ویژه معاملات انجامشده در صرافی غیرمتمرکز محبوب سولانا، Raydium، را هدف قرار داده است. اکنون سوکت در حال توسعه تدابیر جدید امنیتی است و هشدارهای لازم را به جامعه کریپتو و مراجع مرتبط ارائه کرده است.
مکانیزم سرقت: تزریق دستور مخفی در تراکنشهای Raydium
یکی از تحلیلگران ارشد امنیتی در سوکت، نحوه عملکرد این مکانیسم هوشمندانه را تشریح کرد و توضیح داد که این موضوع به دلیل نقص فنی در فرآیند امضای تراکنشهای بستهبندی شده رخ داده است.
در پاسخ به سوالی در مورد نحوه تزریق دستورالعملهای مخفی، این تحلیلگر توضیح داد که این حمله «به یک مکانیسم ساده متکی بود: تولید دستورالعمل صحیح مبادلهی Raydium و سپس افزودن یک دستورالعمل انتقال پنهان و اجباری به آن.» وی افزود:
«کیف پولها معمولاً دستورالعملها را به صورت یک مبادله واحد خلاصه میکنند، و تراکنش بستهبندی شده بهصورت اتمی اجرا میشود. این یعنی کاربر در عمل، ناخودآگاه هر دو دستورالعمل (هم مبادله و هم سرقت) را امضا میکند. این موضوع یک علامت سوال بزرگ در مورد میزان اعتماد به افزونههای مرورگر ایجاد میکند.»
نقص «امضای اتمی»؛ چگونه کیفپولها فریب میخورند؟
در طول تحلیلهای فنی، سوکت چندین بار به آسیبپذیری موجود در مکانیسم بستهبندی اتمی اشاره کرد و توضیح داد که این امر باعث میشود حملهکننده بتواند یک دستورالعمل دوم را به هر مبادله Raydium تزریق کند که منجر به انتقال ۰/۰۵٪ از مبلغ معامله به کیف پول مهاجم میشود.
این شرکت گفت: «وقتی نوبت به رویکرد ما به امنیت میرسد، ما بیشتر یک رویکرد ترکیبی را در پیش گرفتهایم. یعنی هم به نقاط ضعف سطح شبکه و هم به فرصتهای جدید حملات سطح کاربر (مانند افزونهها) توجه داریم؛ و این دو ضعف جایگزین یکدیگر نیستند، بلکه مکمل هم هستند.»
Crypto Copilot به تدریج از ماه ژوئن، با استفاده از یک زیرساخت مونتاژشده، فعالیت خود را گسترده کرده است. اگرچه حجم سرقتها در مجموع هنوز محدود است، اما این مکانیسم با اندازه معامله تغییر میکند: یک مبادله ۱۰۰ SOL، حدود ۱۰ دلار آمریکا با قیمتهای فعلی را مستقیماً به جیب مهاجمان سرازیر میکند.
اقدام فوری: حذف افزونه و انتقال داراییها به کیف پول جدید
در مورد اقدامات پیشرو، سوکت اعلام کرد که درخواست رسمی حذف را به گوگل ارسال کرده است و به کاربران هشدار داد که از افزونههایی که درخواست مجوز امضا دارند، اجتناب کنند. این شرکت در پایان هشدار داد: «ما قطعاً در اینجا یک خطر جدی میبینیم و اکیداً توصیه میکنیم کاربرانی که با Crypto Copilot تعامل داشتهاند، باید داراییهای خود را فوراً به کیف پولهای جدید و ایمن منتقل کنند.»
