恶意加密货币钱包扩展警告
区块链安全平台Socket警告称,谷歌Chrome网上应用店中出现了一款新的恶意加密货币钱包扩展,它通过独特的方式窃取用户的种子短语,从而盗取用户资产。这款扩展名为“Safery: Ethereum Wallet”,自称为“可靠且安全的浏览器扩展,旨在轻松高效地管理以太坊资产”。
后门设计与窃取机制
然而,Socket在周二的报告中指出,该扩展实际上是通过一个巧妙的后门设计来窃取种子短语的。报告中提到:
“这款被宣传为简单、安全的以太坊(ETH)钱包的扩展,包含一个后门,通过将种子短语编码为Sui地址,并从一个由威胁行为者控制的Sui钱包广播微交易来提取种子短语。”
值得注意的是,它目前在谷歌Chrome商店的“以太坊钱包”搜索结果中排名第四,仅次于MetaMask、Wombat和Enkrypt等合法钱包。
潜在的安全风险
该扩展允许用户创建新钱包或从其他地方导入现有钱包,从而为用户建立了两种潜在的安全风险:
- 在第一种情况下,用户在扩展中创建新钱包后,立即通过微小的Sui交易将其种子短语发送给恶意行为者。由于钱包从一开始就被攻陷,资金随时可能被盗。
- 在第二种情况下,用户导入现有钱包并输入其种子短语,从而将其交给扩展背后的诈骗者,后者同样可以通过小额交易查看这些信息。
Socket解释道:“当用户创建或导入钱包时,Safery: Ethereum Wallet将BIP-39助记符编码为合成的Sui风格地址,然后向这些接收者发送0.000001 SUI,使用的是硬编码的威胁行为者的助记符。”
如何避免诈骗扩展
虽然这个恶意扩展在搜索结果中排名较高,但有一些明显的迹象表明它缺乏合法性。该扩展没有任何评论,品牌形象非常有限,某些品牌中存在语法错误,没有官方网站,并且链接到一个使用Gmail账户的开发者。
人们在处理任何区块链平台和工具之前,务必要进行充分的研究,极其小心种子短语,保持良好的网络安全实践,并研究经过验证的、信誉良好的替代方案。鉴于该扩展还发送微交易,持续监控和识别钱包交易至关重要,因为即使是小额交易也可能造成损害。
