Gizli Ücret Dolandırıcılığı Aşikar: Kripto Copilot'un Solana Tüccarlarını Sessizce Nasıl Soyduğu

Güvenlik araştırmacıları, Crypto Copilot adlı bir Chrome uzantısının, Raydium'da takas yapmaya çalışan kullanıcılardan sürekli olarak SOL çaldığını açıkladı. Uzantı, cüzdanları doğrudan boşaltmak yerine, meşru işlemlere gizli bir transfer talimatı ekleyerek, en az 0.0013 SOL veya ticaret değerinin %0.05'ini doğrudan bir saldırganın cüzdanına siphon ediyor.

Cüzdan Ekranlarından Nasıl Gizli Transfer Sızdı

Chrome Web Store'da 18 Haziran 2024'te “sjclark76” olarak listelenen bir geliştirici hesabı tarafından piyasaya sürülen uzantı, X'e bağlı traderlar için mükemmel bir yardımcı olarak kendini konumlandırdı ve DexScreener ile fiyatlandırma, Helius ile blok zinciri erişimi ve Phantom ve Solflare gibi ana akım cüzdanlarla entegrasyon sağlayarak beslemeden anlık takaslar vaat etti.

Bir kullanıcı takas başlattığında, uzantı işlemi cüzdana ulaşmadan önce sessizce değiştirir.

Kötü niyetli kod, fonları hardcoded bir alıcı adresine yönlendiren ek bir SystemProgram.transfer talimatı enjekte eder. Meşru takas ve hırsızlık tek bir atomik işlemde birleştirildiği için, cüzdanın onay ekranı yalnızca beklenen ticaret detaylarını gösterir. Ek transfer, kullanıcı her talimatı bilinçli olarak genişletip incelemediği sürece görünmez, bu adımı yalnızca birkaç trader atar.

Uzantının kaynak kodu yoğun bir şekilde sıkıştırılmış ve gizlenmişken, sözde resmi web sitesi cryptocopilot.app, işlevsel içeriği olmayan bir GoDaddy alan adı olarak park edilmiş durumda. 27 Kasım 2025 itibarıyla, uzantı, Crypto Copilot, yalnızca 12 ve 15 bilinen kurulum ile Chrome Web Store'da hala mevcut.

Kullanıcıların Çok Geç Olmadan Yapması Gerekenler

Sifon planı, güvenlik şirketi Socket tarafından 25 Kasım 2025'te uzantının tamamen tersine mühendisliği yapıldıktan sonra açıklandı. Araştırmacı Kush Pandya'ya göre, transfer sessizce ekleniyor ve herhangi bir protokol hazinesine değil, kişisel bir cüzdana yönlendiriliyor; bu da çoğu mağdurun imzalamadan önce her talimatı dikkatlice gözden geçirmedikçe bunu asla fark etmemesi anlamına geliyor.

Socket, Google'a bir kaldırma talebi göndermiştir. Bu olay, Ağustos 2024'te işaretlenen Bull Checker uzantısı ve Kasım 2025'te daha önce işaretlenen başka bir yüksek rütbeli cüzdan da dahil olmak üzere Solana kullanıcılarına yönelik benzer saldırılar dizisinin ardından gerçekleşmiştir. Bu saldırılar benzer taktikler kullanarak işlemektedir.

Kripto Copilot'ı daha önce yüklemiş olan kullanıcıların uzantıyı hemen kaldırmaları, kalan fonları yeni bir cüzdana taşımaları ve revoke.cash gibi hizmetleri kullanarak tüm ilgili onayları iptal etmeleri önerilmektedir.

İlerleyen süreçte, yatırımcılar ve traderlar, özellikle Solana protokolleriyle etkileşimde bulunurken üçüncü taraf tarayıcı uzantılarını kullanıyorlarsa, her işlem talimatını imzalamadan önce manuel olarak gözden geçirmeleri önerilir.

Bu makale, Kripto Breaking News'te “Gizli Ücret Dolandırıcılığı Açıkta: Kripto Copilot'un Solana Tüccarlarını Sessizce Nasıl Sömürdüğü” olarak yayınlanmıştır – kripto haberleri, Bitcoin haberleri ve blockchain güncellemeleri için güvenilir kaynağınız.