احذر من الإضافات الخبيثة الجديدة! يقوم Crypto Copilot بسرقة 0.05% من أصول كل صفقة لمستخدمي Solana.

اكتشف فريق أبحاث التهديدات Socket مؤخرًا أن إضافة Chrome المسماة Crypto Copilot، التي أُطلقت في يونيو 2024، تواصل سرقة أموال متداولي Solana. تقوم هذه الإضافة بإضافة تعليمات إضافية سرًا في كل عملية تبادل Raydium، مما ينقل ما لا يقل عن 0.0013 SOL أو 0.05% من قيمة الصفقة إلى المحفظة التي يسيطر عليها المهاجم. لا تزال هذه الإضافة تعمل عبر متجر تطبيقات Chrome، وقد قدم الباحثون طلبًا لإلغاء إدراجها إلى Google لكن لم يتلقوا تأكيدًا بالمعالجة بعد.

تحليل عميق لآلية عمل الشيفرات الخبيثة

تقوم إضافة Crypto Copilot بإخفاء سلوكها الضار من خلال كود JavaScript المعقد للغاية، حيث تبني تعليمات متتالية عند تنفيذ المستخدم لعملية تبادل Raydium العادية. على السطح، تقوم الإضافة بإنشاء تعليمات تبادل قياسية، ولكن في الواقع، سيتم بعد ذلك إضافة تعليمات تحويل ثانية، لنقل أموال المستخدم إلى محفظة المهاجم التي تحمل عنوان Bjeida. إن هذا الهيكل المزدوج المصمم بعناية يجعل المستخدمين يرون فقط عمليات تبادل قانونية على الواجهة، بينما تظهر معظم نوافذ تأكيد المحفظة ملخصًا عامًا للمعاملات بدلاً من قائمة التعليمات الكاملة.

! برنامج Crypto Copilot Malware

（المصدر：Socket）

تم ترميز منطق الرسوم لهذا التمديد بالكامل داخل البرنامج، مع اعتماد مبدأ أعلى بين الرسوم الثابتة والرسوم النسبية. على وجه التحديد، يتم سرقة 0.0013 SOL على الأقل من كل معاملة، وعندما يتجاوز مبلغ المعاملة 2.6 SOL، يتم اقتطاع 0.05% من المبلغ. يضمن هذا التصميم المتدرج تحقيق عائد أساسي في المعاملات الصغيرة، بينما يضمن تحقيق أرباح أعلى في المعاملات الكبيرة، مما يُظهر التفكير الدقيق للمهاجم في تحقيق أقصى قدر من الأرباح.

اكتشف الباحثون أن الامتداد يخفي أيضًا السلوك الخبيث من خلال إعادة تسمية المتغيرات والضغط الإيجابي الأدنى، حيث تم دفن عنوان محفظة المهاجم عميقًا تحت تسميات المتغيرات غير ذات الصلة في حزمة الشيفرة. بالإضافة إلى وظيفة سرقة الأموال، يرسل الامتداد بانتظام معرف المحفظة المتصلة وبيانات النشاط إلى الواجهة الخلفية المسماة crypto-coplilot-dashboard.vercel.app، والذي يظهر حاليًا صفحة مكان فارغة تعكس خشونة بنية المهاجم.

ميزات التقنية الضارة وملخص البيانات

أسلوب الهجوم

• الشبكة المستهدفة: Solana
• الهدف من الهجوم: مستخدمي Raydium
• نسبة السرقات: 0.05% أو الحد الأدنى 0.0013 SOL
• طرق خفية: إضافة أوامر التداول، تشويش الكود

تفاصيل تقنية

• استخدام مفتاح API Helius الثابت لمحاكاة التداول
• الاتصال بخلفية اسم المجال المكتوب بشكل خاطئ
• إخفاء الشيفرة الخبيثة من خلال إعادة تسمية المتغيرات

نطاق التأثير

• تاريخ الإطلاق: يونيو 2024
• الحالة الحالية: لا يزال بإمكانك التنزيل من متجر Chrome
• تسرب البيانات: معرف المحفظة وبيانات المعاملات

خلفية الصناعة واتجاهات هجمات ملحقات المتصفح

في عام 2025 ، أصبحت إضافات المتصفح واحدة من أكثر وسائط الهجمات المشفرة ديمومة ، وقد تم تأكيد هذا الاتجاه بشكل أكبر عندما أصدرت فريق Socket تقرير تحليل Crypto Copilot. عند مراجعة أحداث الأمان في يوليو ، تم اكتشاف أكثر من 40 إضافة ضارة لمتصفح Firefox تتظاهر بأنها مقدمي خدمات المحفظة الرئيسيين ، بما في ذلك MetaMask و Coinbase و Phantom و OKX و Trust Wallet. تقوم هذه الإضافات المزيفة باستخراج بيانات اعتماد المحفظة مباشرة من متصفح المستخدم ونقلها إلى خوادم يسيطر عليها المهاجمون.

تزداد سرعة ردود فعل البورصات تجاه مثل هذه التهديدات. أصدرت OKX تحذيراً علنياً ورفعت شكوى إلى الجهات المعنية بعد اكتشافها مكونات إضافية مزيفة تتظاهر بأنها أدوات محفظة رسمية. تعكس هذه الاستجابة النشطة زيادة الوعي في الصناعة حول خطورة هجمات ملحقات المتصفح، ولكن لا تزال الثغرات في آلية مراجعة المكونات الإضافية تتيح المجال للبرامج الضارة.

من حيث حجم الخسائر، تظهر بيانات CertiK أنه في النصف الأول من عام 2025 تم سرقة 2.2 مليار دولار، حيث تمثل الثغرات المتعلقة بالمحفظة 1.7 مليار دولار، بينما تسببت حوادث التصيد في خسائر إضافية تبلغ 410 مليون دولار. على الرغم من أن الوضع الأمني العام قد تحسن في أكتوبر - حيث سجلت PeckShield حدوث 15 حادثة أمنية فقط في ذلك الشهر، مع إجمالي خسائر بلغ 18.18 مليون دولار، وهو أدنى مستوى سنوي - إلا أن تهديدات ملحقات المتصفح قد شهدت زيادة عكسية.

استراتيجيات حماية المستخدم واقتراحات لتخفيف المخاطر

في مواجهة التهديدات المتزايدة تعقيدًا من ملحقات المتصفح، يحتاج مستخدمو Solana وغيرهم من المشاركين في التشفير إلى إنشاء نظام حماية متعدد الطبقات. المبدأ الأساسي هو مراجعة طلبات أذونات الملحقات بعناية، خاصة تلك التي تطلب الوصول إلى بيانات جميع المواقع أو إدخال معلومات حساسة. يجب التحقق من هوية المطور قبل التثبيت، ومراجعة تقييمات المستخدمين وسجلات التحديثات السابقة، مع الحفاظ على درجة عالية من الحذر تجاه الأدوات الناشئة والتي تفتقر إلى تراكم السمعة.

تحسين عادات التداول أمر بالغ الأهمية أيضًا. يجب على المستخدمين التحقق بعناية من تفاصيل المعاملة الكاملة في نافذة تأكيد المحفظة قبل تنفيذ كل معاملة، وليس الاعتماد فقط على الملخصات المتقدمة. بالنسبة لمستخدمي نظام Solana البيئي، يمكن النظر في استخدام المحفظة التي تدعم تحليل أوامر التداول، حيث يمكن أن تساعد هذه الأدوات في تقسيم أوامر التداول المعقدة إلى مكونات يسهل فهمها، مما يساعد على تحديد العمليات غير العادية.

من منظور الحماية التقنية، فإن مراجعة الإضافات المثبتة في المتصفح بشكل دوري وإزالة المكونات غير الضرورية أو المشبوهة في الوقت المناسب هي تدابير وقائية فعالة. استخدام متصفح مخصص للعمليات المشفرة، مع فصلها عن الأنشطة التصفح اليومية، يمكن أن يقلل بشكل كبير من تعرض المخاطر. على الرغم من أن المحفظة الصلبة لا يمكن أن تمنع مثل هذه الهجمات تمامًا، إلا أنها توفر طبقة أمان إضافية للأصول الكبيرة، مما يحد من حجم الخسائر المحتملة.

الحاجة الملحة لمسؤولية المنصة والتعاون في الصناعة

آلية مراجعة متجر Chrome تعرضت للفشل بشكل واضح في هذه الحادثة. تمكّن ملحق Crypto Copilot من الاستمرار في العمل لمدة تقارب الستة أشهر منذ يونيو دون انقطاع، مما يعكس ضعفًا تقنيًا من جانب المنصة في الكشف عن الشيفرات الخبيثة. على الرغم من أن فريق Socket قد قدم طلبًا لإلغاء الإدراج، فإن تأخير Google في المعالجة قد يؤدي إلى تعرض المزيد من المستخدمين للضرر، وهذه السرعة في الاستجابة لا تتماشى مع احتياجات الأمان في صناعة التشفير.

من منظور الانضباط الذاتي في الصناعة، يجب على مزودي المحفظة تحمل المزيد من مسؤوليات التعليم. من خلال تحسين طريقة عرض المعلومات على واجهة تأكيد المعاملات، وتقديم إشعارات خطر أكثر وضوحًا، يمكن أن يساعد المستخدمين في التعرف بشكل أفضل على المعاملات غير العادية. لقد بدأت المحافظ الرائجة مثل Phantom في استكشاف ميزات محاكاة المعاملات، حيث تعرض النتائج المتوقعة للمعاملات للمستخدم قبل التوقيع، وهذه الميزة فعالة بشكل خاص في اكتشاف التعليمات المخفية.

التنسيق التنظيمي هو أيضًا جزء مهم من مواجهة تهديدات التوسع. يجب على الهيئات التنظيمية المالية في الدول المختلفة تعزيز الإشراف على سوق إضافات المتصفح، وإنشاء آلية تقرير سريعة مع الأطراف المنصة. في الوقت نفسه، يحتاج وكالات إنفاذ القانون إلى تعزيز قدراتها التقنية في تتبع الأموال على السلسلة، حتى يتمكنوا من تجميد الأموال المعنية بسرعة عند اكتشاف إضافات خبيثة، مما يخلق إمكانية لمساعدة الضحايا في استعادة خسائرهم.

تطور التهديدات الأمنية وبناء نظام الدفاع البيئي

إن حدث Crypto Copilot ليس مجرد تحذير أمني مستقل، بل هو أحدث مثال على التطور المستمر لتهديدات إضافات المتصفح. مع تسارع عملية التحول في صناعة التشفير، تزداد دقة تقنيات المهاجمين باستمرار، من مواقع الصيد البسيطة إلى تشويش الشفرات المعقد. يحتاج الدفاعون إلى ترقية استراتيجياتهم بنفس السرعة. بالنسبة للمستخدمين العاديين، فإن تعزيز الوعي الأمني والعادات الحذرة هو أفضل درع للحماية؛ وبالنسبة للمشاركين في الصناعة، فإن بناء معلومات تهديد مشتركة وآلية استجابة سريعة هو حجر الزاوية لضمان تطور النظام البيئي بشكل صحي. في المستقبل المنظور، ستظل إضافات المتصفح نقطة اختراق مهمة للمهاجمين، ولا يمكن تحقيق التفوق في هذه الحرب المستمرة للدفاعات الأمنية إلا من خلال جهود ثلاثية تتمثل في تعليم المستخدمين، وتحسين التكنولوجيا، والتعاون التنظيمي.