Edgen Crypto·Nov 14 2025, 04:06「Safery: Ethereum Wallet」と名付けられた悪意のあるChrome拡張機能が、Chromeウェブストア上の欺瞞的な設定を通じてユーザーのシードフレーズを盗んでいることが確認されました。この拡張機能は、機密情報をSuiブロックチェーンのマイクロトランザクションにエンコードして流出させています。
「Safery: Ethereum Wallet」と特定された悪意のあるChrome拡張機能が、暗号通貨ウォレットのシードフレーズを盗むことでユーザーセキュリティを積極的に侵害しています。Socketの脅威研究チームによって発見されたこの拡張機能は、Chromeウェブストアで正規の安全なイーサリアムウォレットを装い、Suiブロックチェーンを通じて機密性の高いユーザーデータを流出させる高度な手法を用いていました。
「Safery: Ethereum Wallet」拡張機能は、2025年9月29日にChromeウェブストアにアップロードされ、2025年11月12日に最後の更新を受けました。悪意のある機能にもかかわらず、ダウンロード可能であり続け、安全なイーサリアムウォレットとして偽って宣伝され、「イーサリアムウォレット」の検索結果で4位に表示され、MetaMaskやEnkryptのような正規のウォレットと並んで可視性を獲得しました。この拡張機能のプライバシー開示は、ユーザーデータの収集がなく、秘密鍵はデバイスに残ると偽って主張しており、実際の運用とは直接矛盾していました。
データ流出メカニズムは多段階のプロセスを伴います。ユーザーがウォレットを作成またはインポートすると、拡張機能は彼らのBIP-39ニーモニック(シードフレーズ)を1つまたは2つの合成Suiスタイルアドレスにエンコードします。その後、ハードコードされた脅威アクターのニーモニックを使用して、これらのエンコードされたアドレスに0.000001 SUIのマイクロトランザクションを送信します。このプロセスにより、盗まれたシードフレーズは表面上は通常のブロックチェーン取引内に効果的に隠されます。攻撃者はその後、Suiブロックチェーンを監視し、これらのマイクロトランザクションから受信者アドレスをデコードし、元のシードフレーズを再構築します。回復されたニーモニックを使用すると、攻撃者は即座にユーザーウォレットを複製し、イーサリアム秘密鍵を導出し、ユーザーの意識なしに資産を転送することができ、影響を受けた暗号資産の完全な侵害につながります。
この事件は、広範なWeb3エコシステム、分散型アプリケーション、ブラウザベースの暗号ウォレットに対するユーザーの信頼に重大な影響を与えます。Chromeウェブストアの正当性を悪用したこの攻撃の欺瞞的な性質は、プラットフォームの監視における脆弱性とサプライチェーン攻撃の可能性を浮き彫りにします。このような悪用は、デジタル資産セキュリティに対するユーザーの信頼を損ない、Web3テクノロジーのより広範な企業および個人による採用を妨げる可能性があります。
悪意のある拡張機能を発見したSocketの脅威研究チームは、Googleに対し、拡張機能の削除とkifagusertyna@gmail[.]comにリンクされた発行元アカウントの停止を迅速に要請しました。セキュリティ専門家は、ユーザーに対し、ブラウザウォレットを検証済みの発行元からのみインストールし、疑わしいブロックチェーン呼び出しがないか拡張機能を綿密に監視するようアドバイスしています。Socketはまた、拡張機能がエンドユーザーのブラウザに到達する前に、インストール許可リストを強制し、危険な権限にフラグを立て、隠れた流出パターンを検出するために、堅牢なChrome拡張機能保護プラットフォームの統合を推奨しています。
この事件は、ユーザーのウェブブラウザを標的とする高度なサプライチェーン攻撃の継続的な傾向を浮き彫りにしており、しばしば相当な規模で実行されています。流出データをブロックチェーン取引内に埋め込む手法は、従来のセキュリティ対策を回避するための高度な方法を表しています。この事件は、デジタル資産分野における継続的な警戒の必要性と、機密性の高い暗号鍵と相互作用するソフトウェア、特にブラウザ拡張機能を綿密に調査することの重要性を改めて強く認識させるものです。