افشای افزونه مخرب: چگونه «کریپتو کوپایلوت» کارمزد معاملات سولانا را می ربود

افزونه «کریپتو کوپایلوت» برای چند ماه به عنوان یک دستیار معامله در اکوسیستم سولانا ظاهر شد و بسیاری را فریب داد؛ این گزارش نشان می دهد که کریپتو کوپایلوت بدون اطلاع کاربران بخشی از کارمزد هر سواپ را به کیف پولی که مهاجم تعیین کرده بود منتقل می کرد. مکانیزم ساده اما مؤثر این حمله باعث شد کاربران با فشردن دکمه تأیید، در واقع دو دستور تراکنش را به صورت هم اتمی امضا کنند.

خلاصه نحوه عمل حمله و دلیل موفقیت

طریقه کار بدین شکل بود که افزونه ابتدا دستور درست سواپ روی Raydium را تولید می کرد، سپس یک دستور مخفی انتقال را به انتهای تراکنش اضافه می کرد. رابط های کیف پول معمولاً همه دستورات را به عنوان یک عملیات واحد نمایش می دهند، بنابراین کاربران تنها «یک تراکنش» را امضا می کردند و در واقع بدون آگاهی، هم سواپ و هم انتقال مخفی را امضا کرده بودند. همین یکپارچگی تراکنش ها باعث شد کریپتو کوپایلوت از دید کاربران مخفی بماند.

میزان برداشت و سازوکار محاسبه کارمزد

طبق بررسی ها، افزونه یا مقدار ثابتی (مثلاً 0.0013 SOL) از هر معامله برمی داشت یا درصدی از مقدار معامله (حدود 0.05%) را برداشت می کرد؛ به این معنا که معاملات بزرگ تر درآمد بیشتری برای مهاجم تولید می کردند. برای مثال، سواپی به اندازهٔ 100 SOL می توانست حدود 0.05 SOL معادل تقریباً 10 دلار را به کیف مهاجم منتقل کند.

شواهد و نقاط ضعف زیرساخت مهاجم

جریان های آن چین نشان می دهد میزان وجوه جمع آوری شده تا کنون کم بوده که نشان دهنده پذیرش محدود افزونه است؛ با این حال، مکانیزم به صورت نظری با افزایش حجم معاملات مقیاس پذیر است. نکات دیگری هم حاکی از ساختار شتاب زده زیرساخت هستند: دامنهٔ اصلی افزونه (cryptocopilot.app) در GoDaddy پارک شده بود و بک اند افزونه با دامنهٔ پر اشتباه املایی (crypto-coplilot-dashboard.vercel.app) تنها یک صفحهٔ خالی برمی گرداند در حالی که اطلاعات متادیتای کیف ها را جمع آوری می کرد.

اقدامات یافته از سوی شرکت های امنیتی

شرکت امنیت سایبری Socket این افزونه را شناسایی کرد و گزارش مربوطه را برای گوگل ارسال کرد تا افزونه حذف شود. تا زمان نگارش این مطلب افزونه هنوز روی فروشگاه کروم قابل مشاهده بود؛ با این وجود، توصیهٔ قطعی این است که کاربران از افزونه های غیرمتن باز که مجوز امضای تراکنش درخواست می کنند پرهیز کنند. برای مطالعهٔ گزارش اولیه می توانید گزارش Socket را ببینید.

چه کسانی در معرض خطر هستند و راهکارهای فوری

کاربرانی که از افزونهٔ کریپتو کوپایلوت استفاده کرده اند یا آن را نصب دارند باید فرض را بر این بگذارند که کیف آن ها در معرض خطر است. اولین اقدام منطقی، انتقال دارایی ها به یک کیف جدید و پاک (fresh wallet) است و لغو هرگونه مجوز امضای مرتبط با افزونه در کیف قبلی. همچنین بهتر است از کیف های سخت افزاری برای ذخیره سازی دارایی های مهم استفاده شود و از افزودن افزونه های بسته به مرورگر خودداری گردد.

نکات ایمنی بلندمدت

برای کاهش ریسک های مشابه در آینده:

• فقط از افزونه ها و ابزارهای متن باز و معتبر استفاده کنید که کدشان قابل بررسی باشد.
• مجوزهای درخواست شده توسط افزونه ها را پیش از تأیید به دقت بررسی کنید و اگر افزونه ای درخواست امضای تراکنش می دهد، از جزئیات دستورها اطمینان حاصل کنید.
• برای تراکنش های بزرگ از کیف های جداگانه و یا قراردادهای چندامضایی استفاده کنید.

نتیجه گیری

ماجرای کریپتو کوپایلوت یک هشدار مهم برای اکوسیستم است: رابط های کاربری ساده و وعدهٔ سهولت می توانند موجب مخفی شدن رفتارهای مخرب شوند. کاربران باید همواره بدگمانی منطقی نسبت به ابزارهای غیررسمی داشته باشند و از منابع معتبر برای دریافت افزونه ها استفاده کنند. برای راهنمایی های بیشتر دربارهٔ امنیت کیف ها و مدیریت ریسک، می توانید مقالات مرتبط در دستهٔ آلت کوین ها و تحلیل احساسات بازار را در دیجکس بخوانید.