افزونه مخرب Chrome با نام “Bull Checker” کاربران DeFi سولانا را هدف قرار داده و توکنهای آنها را در هفته گذشته تخلیه کرده است.
پلتفرم معاملاتی غیرمتمرکز Jupiter Exchange ابتدا این افزونه مرورگر را شناسایی کرد و اعلام کرد که این افزونه توکنهای تعدادی از کاربران سولانا را سرقت کرده است.
Jupiter پس از دریافت گزارشهایی از کاربران که توکنهای خود را از دست دادهاند، تحقیقاتی دقیق در مورد این افزونه Chrome انجام داد. طبق گزارشی که سهشنبه منتشر شد، Bull Checker در ابتدا بهنظر مشروع میآمد و به کاربران اجازه میداد همانطور که همیشه با برنامههای غیرمتمرکز (dApps) تعامل داشته باشند.
“کاربران با این افزونه همانند همیشه با dApps تعامل میکردند و شبیهسازی بهنظر طبیعی میآمد، اما پس از تکمیل تراکنش، توکنهایشان به کیف پولی دیگر منتقل میشد.”
پس از نصب افزونه، این افزونه منتظر میماند تا کاربر با dApp در دامنه رسمی تعامل کند. سپس تراکنش را تغییر میداد تا کیف پول امضا کند، نوشت Jupiter.
جالب است که نتیجه شبیهسازی بهنظر “طبیعی” میآمد و حتی بعد از تغییر نیز بهنظر مخرب نمیآمد.
بعلاوه، پلتفرم تأیید کرد که هیچ ضعف امنیتی در کیف پولهای dApps وجود ندارد.
تحقیقات نشان داد که Bull Checker اجازه داشت تمام دادههای روی وبسایت را بخواند و تغییر دهد.
Raydium ، یک بازارساز خودکار (AMM) که بر اساس بلاکچین سولانا ساخته شده نیز ظاهرا گزارش کرده که کاربران آسیبدیده آنها همین افزونه را نصب کرده بودند.
“دستورالعملهای مخرب به دستورالعملهای عادی Jupiter و Raydium اضافه شده بودند و تراکنش نهایی بهطور معمول توسط کاربر امضا شده بود، اما توکنها و اختیارات آنها به آدرس مخرب منتقل شده بود” Jupiter در X نوشت.
Bull Checker یک افزونه ‘فقط خواندنی’ بود
Jupiter همچنین اعلام کرد که این افزونه مخرب ‘فقط خواندنی’ بوده و به کاربران اجازه میداد “دارندگان ممکوینها را مشاهده کنند.”
“هیچ نیازی نیست که یک افزونه مثل این تمام دادههای روی همه وبسایتها را بخواند یا بنویسد” افزود.
با این وجود، تعدادی از کاربران همچنان Bull Checker را نصب و استفاده کردند، با اینکه این علامت خطر بزرگ وجود داشت.
علاوه بر این، Bull Checker توسط یک حساب ناشناس در Reddit تبلیغ شد که کاربرانی که دنبال معامله ممکوینها بودند را هدف قرار داده بود. حساب