" Платформа безопасности блокчейна Socket предупредила о новом вредоносном расширении для криптокошелька в магазине Google Chrome Web Store. Оно использует уникальный метод кражи сид-фраз для хищения активов пользователей.
Расширение называется «Safery: Ethereum Wallet» и позиционирует себя как «надежное и безопасное браузерное расширение, предназначенное для простого и эффективного управления» активами на базе Ethereum.
Однако, как следует из отчета Socket, опубликованного во вторник, это расширение фактически создано для кражи сид-фраз с помощью хитроумной бэкдор-функции.
«Рекламируемый как простой и безопасный кошелек для Ethereum (ETH), он содержит бэкдор, который похищает сид-фразы, кодируя их в адреса сети Sui и проводя микротранзакции из кошелька Sui, контролируемого злоумышленником», — говорится в отчете.
Рекламные изображения Safety Wallet. Источник: Chrome Store
Примечательно, что на момент написания расширение занимает четвертое место в результатах поиска по запросу «Ethereum Wallet» в магазине Google Chrome, располагаясь всего на несколько позиций ниже легитимных кошельков, таких как MetaMask, Wombat и Enkrypt.
Результаты поиска в магазине Chrome. Источник: Chrome Store
Расширение позволяет пользователям создавать новые кошельки или импортировать существующие из других сервисов, создавая тем самым два потенциальных сценария угрозы безопасности.
В первом сценарии пользователь создает новый кошелек непосредственно в расширении и сразу же отправляет свою сид-фразу злоумышленнику через крошечную транзакцию в сети Sui. Поскольку кошелек скомпрометирован с первого дня, средства могут быть украдены в любой момент.
Во втором сценарии пользователь импортирует существующий кошелек и вводит свою сид-фразу, передавая ее мошенникам, стоящим за расширением, которые также могут просмотреть информацию через небольшую транзакцию.
«Когда пользователь создает или импортирует кошелек, Safery: Ethereum Wallet кодирует мнемоническую фразу BIP-39 в синтетические адреса стиля Sui, а затем отправляет 0,000001 SUI этим получателям, используя жестко запрограммированную мнемоническую фразу злоумышленника», — пояснили в Socket.
Расширение позволяет пользователям создавать новые кошельки или импортировать существующие из других сервисов. Это создает два потенциальных сценария угрозы безопасности.
В первом случае пользователь создает новый кошелек в расширении и сразу же отправляет свою сид-фразу злоумышленнику через крошечную транзакцию в сети Sui. Поскольку кошелек скомпрометирован с момента создания, средства могут быть украдены в любой момент.
Во втором случае пользователь импортирует существующий кошелек и вводит свою сид-фразу, передавая ее мошенникам. Они также могут получить информацию через небольшую транзакцию.
«Когда пользователь создает или импортирует кошелек, Safery: Ethereum Wallet кодирует мнемоническую фразу BIP-39 в синтетические адреса стиля Sui, а затем отправляет 0,000001 SUI этим получателям, используя заранее заданную мнемоническую фразу злоумышленника», — пояснили в Socket.
«Расшифровывая получателей, злоумышленник восстанавливает исходную сид-фразу и может похитить все связанные активы. Мнемоническая фраза покидает браузер, скрытая внутри на первый взгляд обычных блокчейн-транзакций».
Как пользователям криптовалют избежать мошеннических расширений
Хотя это вредоносное расширение появляется высоко в результатах поиска, есть несколько явных признаков его нелегитимности.
У расширения нет отзывов, практически отсутствует брендинг, в описании встречаются грамматические ошибки, нет официального веб-сайта, а ссылки ведут на разработчика с учетной записью Gmail.
Пользователям важно тщательно проверять любую блокчейн-платформу и инструмент перед использованием, крайне осторожно обращаться с сид-фразами, применять надежные практики кибербезопасности и выбирать хорошо зарекомендовавшие себя решения с подтвержденной репутацией.
Учитывая, что это расширение также отправляет микротранзакции, необходимо постоянно отслеживать и проверять операции кошелька, поскольку даже небольшие транзакции могут быть вредоносными.
