ملحق كروم ضار سحب الرسوم سراً من متداولي Solana لعدة أشهر

باختصار

• ملحق Chrome Crypto Copilot يضيف سرًا تحويل SOL مخفي إلى كل عملية تبادل Raydium، مما ي siphoning الرسوم إلى محفظة المهاجم.
• وجدت منصة الأمان Socket أن الإضافة تستخدم رمزًا مشوشًا ونطاق خلفي مكتوب بشكل خاطئ وغير نشط لتخفي نشاطها.
• لا تزال السرقة على السلسلة صغيرة حتى الآن، ولكن الآلية تتوسع مع حجم التداول، والامتداد لا يزال متاحًا في متجر Chrome الإلكتروني.

مركز فنون الموضة والترفيه لتشفير.

اكتشف SCENE

تم تسويق ملحق Chrome كأداة تداول مريحة ولكنه كان يسرق SOL من عمليات تبادل المستخدمين منذ يونيو الماضي، حيث يضيف رسومًا خفية إلى كل معاملة بينما يتنكر كمساعد تداول شرعي على شبكة Solana.

اكتشفت شركة الأمن السيبراني Socket ملحق البرمجيات الخبيثة Crypto Copilot خلال “المراقبة المستمرة” لمتجر Chrome الإلكتروني، حسبما أخبر مهندس الأمن وباحث الأمن كوش باندي Decrypt.

🚨 كشف الباحثون في Socket عن إضافة خبيثة لمتصفح Chrome تقوم بحقن تحويلات #SOL المخفية في عمليات تبادل Raydium، مما يؤدي بهدوء إلى سحب الرسوم إلى محفظة المهاجم.

تحليل كامل → #سولانا

مقبس > — (@SocketSecurity) 25 نوفمبر 2025

<br>

في تحليل للإضافة الخبيثة التي نُشرت يوم الأربعاء، كتب بانديا أن Crypto Copilot يضيف بهدوء تعليمات نقل إضافية إلى كل عملية تبادل على سولانا، مما يستخرج حد أدنى قدره 0.0013 SOL أو 0.05% من مبلغ الصفقة إلى محفظة تتحكم فيها جهة مهاجمة.

“لقد أشار ماسحنا الذكي إلى عدة مؤشرات: تشويش الكود بشكل عدواني، وعنوان Solana مشفر في منطق المعاملات، واختلافات بين الوظائف المعلنة للإضافة والسلوك الفعلي للشبكة”، قال باندي لـ Decrypt، مضيفًا أن “هذه التنبيهات أثارت تحليلًا يدويًا أعمق أكد آلية استخراج الرسوم المخفية.”

تشير الأبحاث إلى المخاطر في أدوات التشفير المستندة إلى المتصفح، وخاصة الإضافات التي تجمع بين تكامل وسائل التواصل الاجتماعي وقدرات توقيع المعاملات.

تفيد التقارير أن الامتداد ظل متاحًا على متجر كروم الإلكتروني لعدة أشهر، دون تحذير للمستخدمين بشأن الرسوم غير المعلنة المدفونة في الشيفرة المعقدة بشكل كبير.

“سلوك الرسوم لا يتم الكشف عنه أبدًا في قائمة متجر Chrome الإلكتروني، والمنطق الذي ينفذه مدفون داخل رمز معقد للغاية غير واضح”، كما لاحظ بانديا.

في كل مرة يقوم فيها المستخدم بتبديل الرموز، يقوم الملحق بإنشاء تعليمات تبديل Raydium المناسبة ولكنه يضيف بشكل غير ملحوظ تحويلًا إضافيًا يوجه SOL إلى عنوان المهاجم.

رايديام هو تبادل لامركزي يعتمد على سولانا وصانع سوق آلي، في حين أن “تبديل رايديام” يشير ببساطة إلى تبادل رمز واحد بآخر من خلال برك السيولة الخاصة به.

المستخدمون الذين قاموا بتثبيت كريبتو كوبايلوت، معتقدين أنه سيبسط تداولهم في سولانا، كانوا يدفعون بشكل غير مُعلن رسومًا مخفية مع كل عملية تبادل، رسوم لم تظهر أبدًا في مواد تسويق الإضافة أو قائمة متجر كروم.

تظهر الواجهة تفاصيل التبادل فقط، وتلخص النوافذ المنبثقة الخاصة بالمحافظ المعاملة، لذا يقوم المستخدمون بتوقيع ما يبدو كأنه تبادل واحد على الرغم من أن كلا التعليمات يتم تنفيذها في نفس الوقت على السلسلة.

لقد تلقت محفظة المهاجم مبالغ صغيرة فقط حتى الآن، وهو علامة على أن Crypto Copilot لم يصل بعد إلى العديد من المستخدمين، بدلاً من كونه مؤشرًا على أن الثغرة منخفضة المخاطر، وفقًا للتقرير.

تتوسع آلية الرسوم مع حجم التداول، حيث تنطبق الرسوم الدنيا البالغة 0.0013 SOL على التبادلات التي تقل عن 2.6 SOL، وفوق هذا الحد، تصبح رسوم النسبة المئوية 0.05% سارية، مما يعني أن تبادل 100 SOL سيستخرج 0.05 SOL، تقريبًا $10 بأسعار الحالية.

تقول التقرير إن النطاق الرئيسي للإضافة cryptocopilot[.]app محجوز من قبل سجل النطاقات GoDaddy، بينما الخلفية في crypto-coplilot-dashboard[.]vercel[.]app، التي تحتوي على خطأ إملائي ملحوظ، تعرض فقط صفحة فارغة كعنصر نائب على الرغم من جمع بيانات المحفظة.

قدمت Socket طلب إزالة إلى فريق أمان متجر Chrome التابع لجوجل، على الرغم من أن الإضافة كانت متاحة في وقت النشر.

حثت المنصة المستخدمين على مراجعة كل تعليمات قبل توقيع المعاملات، وتجنب استخدام إضافات التداول ذات المصدر المغلق التي تطلب أذونات التوقيع، ونقل الأصول إلى محافظ نظيفة إذا قاموا بتثبيت Crypto Copilot.

أنماط البرمجيات الخبيثة

تظل البرمجيات الخبيثة مصدر قلق متزايد لمستخدمي العملات المشفرة. في سبتمبر، تم اكتشاف سلالة من البرمجيات الخبيثة تُدعى ModStealer تستهدف محافظ العملات المشفرة عبر أنظمة Windows وLinux وmacOS من خلال إعلانات مزيفة لم recruiters الوظائف، متجنبة الكشف بواسطة محركات مكافحة الفيروسات الرئيسية لمدة تقارب الشهر.

حذر تشارلز غيليمت، كبير موظفي التكنولوجيا في ليدجر، سابقًا من أن المهاجمين قد تمكنوا من اختراق حساب مطور NPM، مع وجود كود خبيث يحاول بهدوء تبديل عناوين محافظ العملات المشفرة أثناء المعاملات عبر عدة بلوكشين.