Edgen Crypto·Nov 14 2025, 04:06一款名為「Safery: Ethereum Wallet」的惡意Chrome擴充程式被發現透過Chrome網上應用程式商店中的欺騙性設置竊取用戶的助記詞。該擴充程式將敏感資訊編碼到Sui區塊鏈微交易中進行數據外洩。
一款被識別為「Safery: Ethereum Wallet」的惡意Chrome擴充程式,透過竊取加密貨幣錢包的助記詞,積極損害著用戶安全。Socket威脅研究團隊發現,該擴充程式在Chrome網上應用程式商店偽裝成一個合法的安全以太坊錢包,並採用複雜的方法透過Sui區塊鏈竊取敏感用戶資料。
「Safery: Ethereum Wallet」擴充程式於2025年9月29日上傳到Chrome網上應用程式商店,並於2025年11月12日進行了最後一次更新。儘管其具有惡意功能,但它仍然可供下載,並被虛假宣傳為安全的以太坊錢包,甚至在「以太坊錢包」搜尋結果中排名第四,從而與MetaMask和Enkrypt等合法錢包一同獲得曝光。該擴充程式的隱私聲明虛假地聲稱不收集用戶資料,並且私鑰保留在裝置上,這與其實際操作直接矛盾。
資料外洩機制涉及一個多步驟過程。當用戶建立或匯入錢包時,該擴充程式會將其BIP-39助記詞(助記詞)編碼成一個或兩個合成的Sui風格位址。然後,它使用硬編碼的威脅行為者的助記詞向這些編碼位址發送0.000001 SUI的微交易。此過程有效地將竊取的助記詞隱藏在表面上正常的區塊鏈交易中。攻擊者隨後監控Sui區塊鏈,從這些微交易中解碼接收者位址,並重建原始助記詞。憑藉恢復的助記詞,攻擊者可以立即複製用戶錢包,派生以太坊私鑰,並在用戶不知情的情況下轉移資產,從而導致受影響的加密資產完全被盜用。
此事件對更廣泛的Web3生態系統以及用戶對去中心化應用程式和基於瀏覽器的加密錢包的信任產生了重大影響。此次攻擊的欺騙性,利用了Chrome網上應用程式商店的合法性,凸顯了平台監管的漏洞和供應鏈攻擊的可能性。此類漏洞利用可能會侵蝕用戶對數位資產安全的信心,從而可能阻礙企業和個人更廣泛地採用Web3技術。
發現該惡意擴充程式的Socket威脅研究團隊,已迅速要求Google刪除該擴充程式並暫停與kifagusertyna@gmail[.]com關聯的發布者帳戶。安全專家建議用戶僅從經過驗證的發布者那裡安裝瀏覽器錢包,並仔細監控擴充程式是否存在任何可疑的區塊鏈調用。Socket還建議整合強大的Chrome擴充程式保護平台,以強制執行安裝允許清單,標記危險權限,並在擴充程式到達最終用戶瀏覽器之前檢測隱藏的資料外洩模式。
此事件凸顯了針對用戶網路瀏覽器的複雜供應鏈攻擊的持續趨勢,這些攻擊通常以相當大的規模運行。將外洩資料嵌入區塊鏈交易的技術代表了一種繞過傳統安全措施的先進方法。該事件是對數位資產領域持續保持警惕以及審查與敏感加密金鑰交互的軟體(特別是瀏覽器擴充程式)重要性的嚴峻提醒。