Extensión Maliciosa de Chrome "Safery: Ethereum Wallet" Roba Frases Semilla de Usuarios

Resumen Ejecutivo

Una extensión maliciosa de Chrome, identificada como "Safery: Ethereum Wallet", ha estado comprometiendo activamente la seguridad de los usuarios al robar frases semilla de billeteras de criptomonedas. Descubierta por el Equipo de Investigación de Amenazas de Socket, la extensión se disfrazó como una billetera segura y legítima de Ethereum en la Chrome Web Store, empleando un método sofisticado para exfiltrar datos sensibles de los usuarios a través de la blockchain Sui.

El Evento en Detalle

La extensión "Safery: Ethereum Wallet" fue subida a la Chrome Web Store el 29 de septiembre de 2025 y recibió su última actualización el 12 de noviembre de 2025. A pesar de su funcionalidad maliciosa, permaneció disponible para su descarga y fue falsamente comercializada como una billetera Ethereum segura, apareciendo incluso como el cuarto resultado de búsqueda para "Ethereum Wallet", obteniendo así visibilidad junto a billeteras legítimas como MetaMask y Enkrypt. La divulgación de privacidad de la extensión afirmaba falsamente que no se recopilaban datos de usuario y que las claves privadas permanecían en el dispositivo, contradiciendo directamente su funcionamiento real.

El mecanismo de exfiltración implica un proceso de múltiples pasos. Cuando un usuario crea o importa una billetera, la extensión codifica su mnemotécnico BIP-39 (frase semilla) en una o dos direcciones de estilo Sui sintéticas. Luego, envía microtransacciones de 0.000001 SUI a estas direcciones codificadas utilizando el mnemotécnico de un actor de amenaza codificado. Este proceso oculta eficazmente la frase semilla robada dentro de transacciones de blockchain aparentemente normales. El atacante posteriormente monitorea la blockchain Sui, decodifica las direcciones de los destinatarios de estas microtransacciones y reconstruye la frase semilla original. Con el mnemotécnico recuperado, los atacantes pueden duplicar instantáneamente las billeteras de los usuarios, derivar claves privadas de Ethereum y transferir activos sin el conocimiento del usuario, lo que lleva a la compromisión completa de los criptoactivos afectados.

Implicaciones en el Mercado

Este incidente conlleva implicaciones significativas para el ecosistema Web3 en general y la confianza de los usuarios en las aplicaciones descentralizadas y las billeteras de criptomonedas basadas en navegador. La naturaleza engañosa del ataque, que aprovecha la legitimidad de la Chrome Web Store, subraya las vulnerabilidades en la supervisión de la plataforma y el potencial de ataques a la cadena de suministro. Tales explotaciones pueden erosionar la confianza de los usuarios en la seguridad de los activos digitales, lo que podría obstaculizar una adopción más amplia de las tecnologías Web3 por parte de empresas e individuos.

Comentario de Expertos

El Equipo de Investigación de Amenazas de Socket, que descubrió la extensión maliciosa, solicitó rápidamente a Google que eliminara la extensión y suspendiera la cuenta del editor, vinculada a kifagusertyna@gmail[.]com. Los expertos en seguridad aconsejan a los usuarios que instalen billeteras de navegador exclusivamente de editores verificados y que monitoreen meticulosamente las extensiones en busca de cualquier llamada sospechosa a la blockchain. Socket también recomienda la integración de plataformas robustas de protección de extensiones de Chrome para hacer cumplir las listas de permitidos de instalación, marcar permisos riesgosos y detectar patrones de exfiltración ocultos antes de que las extensiones lleguen a los navegadores de los usuarios finales.

Contexto Más Amplio

Este evento destaca una tendencia continua de ataques sofisticados a la cadena de suministro dirigidos a los navegadores web de los usuarios, que a menudo operan a una escala considerable. La técnica de incrustar datos exfiltrados dentro de las transacciones de blockchain representa un método avanzado para eludir las medidas de seguridad tradicionales. El incidente sirve como un recordatorio crítico de la necesidad continua de vigilancia en el espacio de los activos digitales y la importancia de examinar el software, particularmente las extensiones de navegador, que interactúan con claves criptográficas sensibles.