Edgen Crypto·Nov 14 2025, 04:06一款名为“Safery: Ethereum Wallet”的恶意Chrome扩展程序被发现通过Chrome网上应用店中的欺骗性设置窃取用户的助记词。该扩展程序将敏感信息编码到Sui区块链微交易中进行数据外泄。
一款被识别为“Safery: Ethereum Wallet”的恶意Chrome扩展程序,通过窃取加密货币钱包的助记词,积极损害着用户安全。Socket威胁研究团队发现,该扩展程序在Chrome网上应用店伪装成一个合法的安全以太坊钱包,并采用复杂的方法通过Sui区块链窃取敏感用户数据。
“Safery: Ethereum Wallet”扩展程序于2025年9月29日上传到Chrome网上应用店,并于2025年11月12日进行了最后一次更新。尽管其具有恶意功能,但它仍然可供下载,并被虚假宣传为安全的以太坊钱包,甚至在“以太坊钱包”搜索结果中排名第四,从而与MetaMask和Enkrypt等合法钱包一同获得曝光。该扩展程序的隐私声明虚假地声称不收集用户数据,并且私钥保留在设备上,这与其实际操作直接矛盾。
数据外泄机制涉及一个多步骤过程。当用户创建或导入钱包时,该扩展程序会将其BIP-39助记词(助记词)编码成一个或两个合成的Sui风格地址。然后,它使用硬编码的威胁行为者的助记词向这些编码地址发送0.000001 SUI的微交易。此过程有效地将窃取的助记词隐藏在表面上正常的区块链交易中。攻击者随后监控Sui区块链,从这些微交易中解码接收者地址,并重建原始助记词。凭借恢复的助记词,攻击者可以立即复制用户钱包,派生以太坊私钥,并在用户不知情的情况下转移资产,从而导致受影响的加密资产完全被盗用。
此事件对更广泛的Web3生态系统以及用户对去中心化应用程序和基于浏览器的加密钱包的信任产生了重大影响。此次攻击的欺骗性,利用了Chrome网上应用店的合法性,凸显了平台监管的漏洞和供应链攻击的可能性。此类漏洞利用可能会侵蚀用户对数字资产安全的信心,从而可能阻碍企业和个人更广泛地采用Web3技术。
发现该恶意扩展程序的Socket威胁研究团队,已迅速要求Google删除该扩展程序并暂停与kifagusertyna@gmail[.]com关联的发布者账户。安全专家建议用户仅从经过验证的发布者那里安装浏览器钱包,并仔细监控扩展程序是否存在任何可疑的区块链调用。Socket还建议集成强大的Chrome扩展程序保护平台,以强制执行安装允许列表,标记危险权限,并在扩展程序到达最终用户浏览器之前检测隐藏的数据外泄模式。
此事件凸显了针对用户网络浏览器的复杂供应链攻击的持续趋势,这些攻击通常以相当大的规模运行。将外泄数据嵌入区块链交易的技术代表了一种绕过传统安全措施的先进方法。该事件是对数字资产领域持续保持警惕以及审查与敏感加密密钥交互的软件(特别是浏览器扩展程序)重要性的严峻提醒。