Tóm tắt điều hành
Một tiện ích mở rộng Chrome độc hại, được xác định là "Safery: Ethereum Wallet", đã và đang tích cực làm tổn hại đến an ninh người dùng bằng cách đánh cắp cụm từ hạt giống ví tiền điện tử. Được phát hiện bởi Nhóm nghiên cứu mối đe dọa của Socket, tiện ích mở rộng này đã giả dạng một ví Ethereum an toàn hợp pháp trên Cửa hàng Chrome trực tuyến, sử dụng một phương pháp tinh vi để đánh cắp dữ liệu người dùng nhạy cảm thông qua blockchain Sui.
Chi tiết sự kiện
Tiện ích mở rộng "Safery: Ethereum Wallet" đã được tải lên Cửa hàng Chrome trực tuyến vào ngày 29 tháng 9 năm 2025 và nhận bản cập nhật cuối cùng vào ngày 12 tháng 11 năm 2025. Mặc dù có chức năng độc hại, nó vẫn có sẵn để tải xuống và được quảng cáo sai sự thật là một ví Ethereum an toàn, thậm chí còn xuất hiện ở vị trí thứ tư trong kết quả tìm kiếm cho "Ethereum Wallet", nhờ đó có được khả năng hiển thị cùng với các ví hợp pháp như MetaMask và Enkrypt. Tiết lộ quyền riêng tư của tiện ích mở rộng đã tuyên bố sai rằng không thu thập dữ liệu người dùng và khóa riêng tư vẫn nằm trên thiết bị, điều này mâu thuẫn trực tiếp với hoạt động thực tế của nó.
Cơ chế đánh cắp dữ liệu liên quan đến một quy trình nhiều bước. Khi người dùng tạo hoặc nhập ví, tiện ích mở rộng sẽ mã hóa BIP-39 mnemonic (cụm từ hạt giống) của họ thành một hoặc hai địa chỉ kiểu Sui tổng hợp. Sau đó, nó gửi các giao dịch vi mô 0.000001 SUI đến các địa chỉ được mã hóa này bằng cách sử dụng mnemonic của một tác nhân đe dọa được mã hóa cứng. Quá trình này che giấu hiệu quả cụm từ hạt giống bị đánh cắp trong các giao dịch blockchain dường như bình thường. Kẻ tấn công sau đó giám sát blockchain Sui, giải mã các địa chỉ người nhận từ các giao dịch vi mô này và tái tạo lại cụm từ hạt giống gốc. Với mnemonic đã được phục hồi, kẻ tấn công có thể ngay lập tức sao chép ví người dùng, tạo ra khóa riêng Ethereum và chuyển tài sản mà người dùng không hề hay biết, dẫn đến việc các tài sản tiền điện tử bị ảnh hưởng hoàn toàn bị xâm phạm.
Hàm ý thị trường
Sự cố này mang lại những hàm ý quan trọng đối với hệ sinh thái Web3 rộng lớn hơn và niềm tin của người dùng vào các ứng dụng phi tập trung cũng như ví tiền điện tử dựa trên trình duyệt. Bản chất lừa đảo của cuộc tấn công, tận dụng tính hợp pháp của Cửa hàng Chrome trực tuyến, nhấn mạnh các lỗ hổng trong việc giám sát nền tảng và tiềm năng của các cuộc tấn công chuỗi cung ứng. Những khai thác như vậy có thể làm xói mòn niềm tin của người dùng vào bảo mật tài sản kỹ thuật số, có khả năng cản trở việc áp dụng rộng rãi hơn công nghệ Web3 của các doanh nghiệp và cá nhân.
Bình luận của chuyên gia
Nhóm nghiên cứu mối đe dọa của Socket, đơn vị đã phát hiện ra tiện ích mở rộng độc hại, đã nhanh chóng yêu cầu Google xóa tiện ích mở rộng này và đình chỉ tài khoản của nhà xuất bản, được liên kết với kifagusertyna@gmail[.]com. Các chuyên gia bảo mật khuyên người dùng chỉ nên cài đặt ví trình duyệt từ các nhà xuất bản đã được xác minh và theo dõi cẩn thận các tiện ích mở rộng để phát hiện bất kỳ lệnh gọi blockchain đáng ngờ nào. Socket cũng khuyến nghị tích hợp các nền tảng bảo vệ tiện ích mở rộng Chrome mạnh mẽ để thực thi danh sách cho phép cài đặt, gắn cờ các quyền rủi ro và phát hiện các mẫu đánh cắp dữ liệu ẩn trước khi các tiện ích mở rộng đến trình duyệt của người dùng cuối.
Bối cảnh rộng hơn
Sự kiện này làm nổi bật xu hướng liên tục của các cuộc tấn công chuỗi cung ứng tinh vi nhắm vào trình duyệt web của người dùng, thường hoạt động ở quy mô đáng kể. Kỹ thuật nhúng dữ liệu bị đánh cắp vào các giao dịch blockchain đại diện cho một phương pháp tiên tiến để vượt qua các biện pháp bảo mật truyền thống. Sự cố này đóng vai trò như một lời nhắc nhở quan trọng về nhu cầu cảnh giác liên tục trong không gian tài sản kỹ thuật số và tầm quan trọng của việc kiểm tra kỹ lưỡng phần mềm, đặc biệt là các tiện ích mở rộng trình duyệt, tương tác với các khóa mật mã nhạy cảm.
Edgen Crypto·Nov 14 2025, 04:06