Edgen Crypto·Nov 14 2025, 04:06"Safery: Ethereum Wallet"이라는 악성 Chrome 확장 프로그램이 Chrome 웹 스토어의 기만적인 설정을 통해 사용자 시드 문구를 훔치는 것이 확인되었습니다. 이 확장 프로그램은 민감한 정보를 Sui 블록체인 마이크로 트랜잭션으로 인코딩하여 유출합니다.
"Safery: Ethereum Wallet"으로 식별된 악성 Chrome 확장 프로그램이 암호화폐 지갑 시드 문구를 훔쳐 사용자 보안을 적극적으로 침해하고 있습니다. Socket의 위협 연구팀에 의해 발견된 이 확장 프로그램은 Chrome 웹 스토어에서 합법적인 보안 이더리움 지갑으로 위장하여 Sui 블록체인을 통해 민감한 사용자 데이터를 유출하는 정교한 방법을 사용했습니다.
"Safery: Ethereum Wallet" 확장 프로그램은 2025년 9월 29일 Chrome 웹 스토어에 업로드되었고, 2025년 11월 12일에 마지막으로 업데이트되었습니다. 악성 기능에도 불구하고 다운로드 가능했으며, 안전한 이더리움 지갑으로 허위 광고되어 "이더리움 지갑" 검색 결과에서 4위로 나타나 MetaMask 및 Enkrypt와 같은 합법적인 지갑과 함께 가시성을 확보했습니다. 확장 프로그램의 개인 정보 공개는 사용자 데이터 수집이 없으며 개인 키가 장치에 남아 있다고 허위로 주장했는데, 이는 실제 작동 방식과 직접적으로 모순됩니다.
데이터 유출 메커니즘은 다단계 프로세스를 포함합니다. 사용자가 지갑을 생성하거나 가져올 때, 확장 프로그램은 BIP-39 니모닉 (시드 문구)을 하나 또는 두 개의 합성 Sui 스타일 주소로 인코딩합니다. 그런 다음 하드 코딩된 위협 행위자의 니모닉을 사용하여 이러한 인코딩된 주소로 0.000001 SUI의 마이크로 트랜잭션을 보냅니다. 이 과정은 훔쳐진 시드 문구를 겉보기에는 정상적인 블록체인 트랜잭션 내에 효과적으로 숨깁니다. 공격자는 이후 Sui 블록체인을 모니터링하고, 이러한 마이크로 트랜잭션에서 수신자 주소를 디코딩하여 원래 시드 문구를 재구성합니다. 복구된 니모닉을 통해 공격자는 즉시 사용자 지갑을 복제하고, 이더리움 개인 키를 파생하고, 사용자 인지 없이 자산을 전송하여 영향을 받는 암호화 자산의 완전한 손상을 초래할 수 있습니다.
이 사건은 더 넓은 Web3 생태계와 분산형 애플리케이션 및 브라우저 기반 암호화폐 지갑에 대한 사용자 신뢰에 중대한 영향을 미칩니다. Chrome 웹 스토어의 합법성을 악용한 공격의 기만적인 특성은 플랫폼 감독의 취약성과 공급망 공격의 잠재력을 강조합니다. 이러한 악용은 디지털 자산 보안에 대한 사용자 신뢰를 약화시켜 Web3 기술의 광범위한 기업 및 개인 채택을 저해할 수 있습니다.
악성 확장 프로그램을 발견한 Socket의 위협 연구팀은 Google에 확장 프로그램 제거 및 kifagusertyna@gmail[.]com과 연결된 게시자 계정 정지를 즉시 요청했습니다. 보안 전문가들은 사용자에게 브라우저 지갑을 검증된 게시자로부터만 설치하고 의심스러운 블록체인 호출이 있는지 확장 프로그램을 면밀히 모니터링할 것을 권고합니다. Socket은 또한 확장 프로그램이 최종 사용자 브라우저에 도달하기 전에 설치 허용 목록을 강제하고, 위험한 권한에 플래그를 지정하며, 숨겨진 유출 패턴을 감지하기 위해 강력한 Chrome 확장 프로그램 보호 플랫폼 통합을 권장합니다.
이 사건은 사용자 웹 브라우저를 대상으로 하는 정교한 공급망 공격의 지속적인 추세를 강조하며, 종종 상당한 규모로 작동합니다. 유출된 데이터를 블록체인 거래 내에 임베딩하는 기술은 전통적인 보안 조치를 우회하는 고급 방법을 나타냅니다. 이 사건은 디지털 자산 공간에서 지속적인 경계의 필요성과 민감한 암호화 키와 상호 작용하는 소프트웨어, 특히 브라우저 확장 프로그램에 대한 정밀 조사의 중요성을 비판적으로 상기시킵니다.