Crypto Copilot eklentisi, Socket Security tarafından tespit edildi; Raydium takaslarına gizli SOL transferi ekleyerek kullanıcı işlemlerinden ücret aldı. Eklenti hâlâ mağazada bulunuyor.
Crypto Copilot adlı Chrome eklentisi, Socket Security’nin incelemesiyle ortaya çıkan bir taktikle kullanıcıların Raydium üzerinden yaptığı Solana (SOL) takaslarına gizli bir transfer ekleyerek küçük ücretler aktarılmasına neden oldu. Chrome Web Store’da listelenen bu araç, görünürde işlem kolaylığı sağlarken arka planda işlem enjeksiyonu (transaction injection) yapıyordu ve kod obfuscation ile etkinliği gizleniyordu.
İçindekiler Tablosu
Nasıl çalışıyor?
Eklenti, bir kullanıcı Raydium aracılığıyla token takası başlattığında doğru swap talimatını oluşturuyor; ancak buna ek olarak zincir üzerinde ikinci bir transfer talimatı daha ekleniyor. Bu talimat, her işlemin içine minimum 0.0013 SOL veya işlem miktarının %0.05’i kadar bir ücret yönlendiriyor. Araştırma raporuna göre, 2.6 SOL altındaki takaslarda sabit ücret uygulanıyor, üstünde ise yüzde hesaplanıyor. Bu mekanizma işlem büyüklüğüyle orantılı olarak daha fazla SOL çekebiliyor.
Kod ve altyapı işaretleri
- Socket Security, eklentide aşırı kod obfuscation, hardcoded bir Solana adresi ve yanlış yazılmış arka uç domaine (crypto-coplilot-dashboard.vercel.app) işaret eden izler buldu.
- Eklentinin mağaza açıklamasında veya arayüzünde bu gizli ücretlere dair hiçbir bildirim yoktu.
- Arka uç domaini boş bir yer tutucu sayfası gösterirken cüzdan verilerini toplamış olabilir.
Risk ve kapsam
Şu ana kadar saldırgan cüzdanına geçen miktarlar görece küçük; bu durum eklentinin az sayıda kullanıcıya ulaşmış olabileceğini gösteriyor. Ancak mekanizmanın doğası gereği büyük hacimli takaslarda çekilecek miktar artıyor ve risk ölçeklenebilir. Bu tür zararlı tarayıcı eklentileri, özellikle sosyal medya entegrasyonu ve işlem imzalama izinlerini talep eden kapalı kaynak çözümler için uyarıcı bir örnek teşkil ediyor.
Ne yapmalısınız?
Güvenlik araştırmacıları, kullanıcıların işlem onayı pencerelerinde her talimatı dikkatle incelemesini, kapalı kaynaklı ticaret eklentilerine imza yetkisi vermekten kaçınmasını ve şüpheli eklenti yüklediyse varlıklarını temiz bir cüzdana taşımalarını öneriyor. İlgili teknik analiz için Decrypt ve Socket Security raporlarına bakılabilir.
Sonuç
Tarayıcı tabanlı kripto araçları kullanım kolaylığı sağlarken gizli riskler barındırabiliyor. Crypto Copilot vakası, kullanıcı onay pencerelerini kontrol etmenin, yalnızca açık kaynak ve iyi denetlenmiş araçları tercih etmenin önemini yeniden hatırlatıyor.