Yeni tür kötü niyetli uzantılara dikkat edin! Crypto Copilot, Solana kullanıcılarının her işleminden %0.05 varlık çalıyor.

Socket Tehdit Araştırma Ekibi, Crypto Copilot adlı bir Chrome uzantısının 2024 yılının Haziran ayından itibaren Solana işlemcilerinin fonlarını sürekli olarak çaldığını keşfetti. Bu uzantı, her Raydium dönüşüm işlemi sırasında gizlice ek talimatlar ekleyerek saldırganın kontrolündeki cüzdana en az 0.0013 SOL veya işlem tutarının %0.05'ini transfer ediyor. Şu anda bu uzantı hala Chrome Web Mağazası'nda çevrimiçi olarak faaliyet göstermekte ve araştırmacılar Google'a delist ediliyor talebinde bulunmuş ancak henüz bir işlem onayı alınamamıştır.

Kötü Amaçlı Kod İşleyiş Mekanizmasının Derinlemesine Analizi

Crypto Copilot uzantısı, kullanıcıların normal Raydium takas işlemlerini gerçekleştirdiği sırada iki ardışık komut oluşturarak kötü niyetli davranışlarını gizlemek için yüksek derecede karıştırılmış JavaScript kodu kullanır. Yüzeyde uzantı standart bir takas komutu üretirken, aslında ardından ikinci bir transfer komutu eklenir ve bu komut, kullanıcının fonlarını Bjeida adresli saldırgan cüzdanına aktarır. Bu özenle tasarlanmış çift komut yapısı, kullanıcıların arayüzde yalnızca yasal takas işlemlerini görmesini sağlarken, çoğu cüzdan onay penceresi de yalnızca işlemin yüksek düzeyde özetini gösterir, tam komut listesini değil.

(Kaynak: Socket)

Bu genişletmenin ücret mantığı tamamen programın içinde hardcoded olarak belirlenmiştir ve en düşük ücret ile oransal ücretin hangisi yüksekse o prensibi uygulanmaktadır. Daha spesifik olarak, her işlem en az 0.0013 SOL çalınırken, işlem tutarı 2.6 SOL'yi aştığında %0.05 oranında fon alınmaktadır. Bu kademeli tasarım, küçük işlemler için temel kazançları güvence altına alırken, büyük işlemlerde daha yüksek kar elde edilmesini sağlamaktadır ve saldırganların kazancı maksimize etme konusundaki titiz değerlendirmelerini göstermektedir.

Araştırmacılar, uzantının değişken yeniden adlandırma ve aktif minimum sıkıştırma yoluyla kötü niyetli davranışları gizlediğini keşfettiler. Saldırganın cüzdan adresi, kod paketinin alakasız değişken etiketleri altında derinlemesine gömülmüştür. Fon çalma işlevinin yanı sıra, uzantı ayrıca bağlı cüzdan tanımlayıcılarını ve etkinlik verilerini düzenli olarak crypto-coplilot-dashboard.vercel.app adlı bir arka uca gönderir. Bu yazım hatası olan alan adı şu anda yalnızca boş yer tutucu sayfasını göstermekte ve saldırganın altyapısının kaba yapısını yansıtmaktadır.

Kötü niyetli genişletme teknolojisi özellikleri ve veri toplama

Saldırı Yöntemi

• Hedef ağ: Solana
• Hedef: Raydium işlem kullanıcıları
• Hırsızlık oranı: %0.05 veya en az 0.0013 SOL
• Gizli yöntemler: Ticaret emirlerinin eklenmesi, kod karıştırma

Teknik Detaylar

• İşlem simülasyonu için sabit kodlu Helius API anahtarını kullanma
• Yanlış yazılmış alan adı arka ucuna bağlanıyor
• Kötü niyetli kodu gizlemek için değişken adlarını yeniden adlandırma

Etkileme Alanı

• Yayınlanma tarihi: 2024 yılı Haziran
• Mevcut durum: Chrome Mağazası'ndan hala indirilebilir
• Veri sızıntısı: Cüzdan tanımlayıcısı ve işlem verileri

Tarayıcı Eklentisi Saldırıları: Sektör Arka Planı ve Eğilimler

2025 yılında tarayıcı uzantıları, en kalıcı kripto saldırı araçlarından biri haline geldi ve bu eğilim, Socket ekibinin Crypto Copilot analiz raporunu yayımlamasıyla daha da doğrulandı. Temmuz ayındaki güvenlik olaylarına bakıldığında, 40'tan fazla kötü niyetli Firefox uzantısının, MetaMask, Coinbase, Phantom, OKX ve Trust Wallet gibi ana akım cüzdan sağlayıcılarını taklit ettiği tespit edildi. Bu sahte uzantılar, kullanıcıların tarayıcılarından cüzdan kimlik bilgilerini alarak, bunları saldırganların kontrolündeki sunuculara iletmektedir.

Borsaların bu tür tehditlere yanıtı giderek daha hızlı hale geliyor. OKX, resmi cüzdan araçlarını taklit eden sahte eklentileri keşfettikten sonra, kamuya uyarıda bulunmuş ve ilgili makamlara şikayette bulunmuştur. Bu proaktif yanıt, sektörün tarayıcı uzantı saldırılarının tehlikesine olan farkındalığını artırdığını yansıtır, ancak uzantı inceleme mekanizmasındaki açıklar hala kötü amaçlı yazılımlara olanak tanımaktadır.

Kayıp ölçeği açısından, CertiK verileri 2025 yılının ilk yarısında çalınan 2.2 milyar doların 1.7 milyar dolarının cüzdanla ilgili açıklar nedeniyle olduğunu gösteriyor, ayrıca oltalama olayları ek olarak 410 milyon dolarlık bir kayba neden oldu. Ekim ayında genel güvenlik durumunun iyileşmesine rağmen - PeckShield kayıtlarına göre o ay sadece 15 güvenlik olayı meydana geldi ve toplam kayıplar 18.18 milyon dolarla yıllık en düşük seviyeye ulaştı - tarayıcı uzantısı tehditleri tersine bir artış gösteriyor.

Kullanıcı Koruma Stratejileri ve Risk Azaltma Önerileri

Artan karmaşık tarayıcı uzantısı tehditleriyle karşı karşıya kalan Solana kullanıcıları ve diğer kripto katılımcıları, çok katmanlı bir koruma sistemi oluşturmalıdır. İlk ilke, tüm web sitesi verilerine erişim veya hassas bilgilerin girilmesini talep eden uzantılar da dahil olmak üzere, uzantı izin taleplerini dikkatlice incelemektir. Kurulumdan önce geliştirici kimliğinin doğrulanması, kullanıcı değerlendirmeleri ve tarihsel güncelleme kayıtlarının incelenmesi gerekmektedir; özellikle yeni ve itibar kazanamamış araçlara karşı özel bir dikkat gösterilmelidir.

İşlem alışkanlıklarının optimizasyonu da aynı şekilde kritik öneme sahiptir. Kullanıcılar, her işlem gerçekleştirmeden önce cüzdan onay penceresindeki tam işlem detaylarını dikkatlice kontrol etmelidir, yalnızca yüksek düzeyde özet bilgilerine güvenmemelidir. Solana ekosisteminin kullanıcıları için, işlem talimatlarını analiz eden cüzdanları kullanmayı düşünebilirler; bu araçlar, karmaşık işlem talimatlarını daha anlaşılır bileşenlere ayırarak anormal işlemleri tanımlamaya yardımcı olabilir.

Teknik koruma açısından, kurulu tarayıcı uzantılarını düzenli olarak gözden geçirmek ve gereksiz veya şüpheli bileşenleri zamanında kaldırmak etkili bir önlemdir. Kripto işlemleri için özel bir tarayıcı kullanmak, günlük tarayıcı aktivitelerinden izole olmak, risk maruziyetini de önemli ölçüde azaltabilir. Donanım cüzdanları bu tür saldırıları tamamen engelleyemese de, büyük varlıklar için ek bir güvenlik katmanı sağlar ve potansiyel kayıpların ölçeğini sınırlayabilir.

Platform Sorumluluğu ve Sektör İşbirliği İçin Acil İhtiyaç

Chrome uygulama mağazası denetim mekanizmasının etkisizliği bu olayda gözler önüne serildi. Crypto Copilot uzantısı, Haziran ayından itibaren kesintisiz olarak yaklaşık altı ay boyunca faaliyet göstermeye devam etti ve bu, platformun kötü niyetli kod tespiti konusundaki teknik eksikliklerini yansıtıyor. Socket ekibi bir delist ediliyor talebi göndermiş olmasına rağmen, Google'ın işlem gecikmesi daha fazla kullanıcının mağdur olmasına sebep olabilir; bu yanıt hızı, kripto sektörünün güvenlik ihtiyaçlarıyla ciddi şekilde örtüşmüyor.

Sektör öz disiplin açısından, cüzdan sağlayıcılarının daha fazla eğitim sorumluluğu üstlenmesi gerekiyor. İşlem onay ekranındaki bilgi gösterim biçimini geliştirerek ve daha sezgisel risk uyarıları sunarak, kullanıcıların anormal işlemleri daha iyi tanımlamalarına yardımcı olabilir. Phantom gibi ana akım cüzdanlar, imzadan önce kullanıcılara işlemin beklenen sonuçlarını göstererek işlem simülasyon işlevini keşfetmeye başladı; bu özellik gizli talimatları tespit etmede özellikle etkilidir.

Regülasyon koordinasyonu, genişleme tehditlerine karşı önemli bir unsurdur. Ülkelerin finansal regülatörleri, tarayıcı uzantıları pazarının denetimini güçlendirmeli ve platformlarla hızlı bildirim mekanizmaları oluşturmalıdır. Aynı zamanda, kolluk kuvvetleri, kötü niyetli uzantılar tespit edildiğinde ilgili fonları hızlı bir şekilde dondurabilmek için zincir üzerindeki fon takibine dair teknik yeteneklerini artırmalıdır, böylece mağdurların kayıplarını geri kazanma olasılığı yaratılabilir.

Güvenlik Tehditlerinin Evrimi ve Ekosistem Savunma Sistemi İnşası

Crypto Copilot olayı yalnızca bağımsız bir güvenlik uyarısı değil, aynı zamanda tarayıcı uzantısı tehditlerinin sürekli evrim geçirdiğinin en son örneğidir. Kripto endüstrisinin ana akıma geçiş süreci hızlandıkça, saldırganların teknik becerileri de sürekli olarak gelişiyor; basit oltalama sitelerinden karmaşık kod bulanıklaştırmaya kadar, savunma tarafının da aynı hızda yanıt stratejilerini güncellemesi gerekiyor. Ortak kullanıcılar için güvenlik bilincinin geliştirilmesi ve temkinli alışkanlıkların edinilmesi en etkili koruma kalkanıdır; sektör katılımcıları içinse, paylaşım tabanlı tehdit istihbaratı ve hızlı yanıt mekanizması oluşturmak, ekosistem sağlık gelişimini sağlamak için temel taşlardır. Görünür gelecekte, tarayıcı uzantıları hâlâ saldırganların önemli bir saldırı noktası olmaya devam edecek; yalnızca kullanıcı eğitimi, teknik iyileştirme ve düzenleyici işbirliğinin üçlü çabasıyla, bu sürekli güvenlik saldırı ve savunma savaşında inisiyatif almak mümkün olacaktır.