Платформа безопасности блокчейна Socket предупредила о новом вредоносном расширении криптовалютного кошелька в интернет-магазине Chrome от Google, которое имеет уникальный способ кражи исходных фраз для истощения пользовательских активов.
Расширение называется «Safery: Ethereum Wallet» и позиционирует себя как «надежное и безопасное расширение для браузера, предназначенное для простого и эффективного управления» активами на основе Ethereum.
Однако, как подчеркивается в отчете Socket во вторник, расширение на самом деле предназначено для кражи исходных фраз через хитрый бэкдор.
«Продаваемый как простой и безопасный кошелек Ethereum (ETH), он содержит бэкдор, который извлекает исходные фразы, кодируя их в адреса Sui и транслируя микротранзакции из кошелька Sui, контролируемого злоумышленником», — говорится в отчете.
Примечательно, что в настоящее время он занимает четвертое место в результатах поиска по запросу «Ethereum Wallet» в магазине Google Chrome, всего на пару мест позади законных кошельков, таких как MetaMask, Wombat и Enkrypt.
Расширение позволяет пользователям создавать новые кошельки или импортировать существующие из других источников, тем самым создавая две потенциальные угрозы безопасности для пользователя.
В первом сценарии пользователь создает новый кошелек в расширении и немедленно отправляет свою начальную фразу злоумышленнику посредством крошечной транзакции на основе Sui. Поскольку кошелек взломан с первого дня, средства могут быть украдены в любой момент.
Во втором сценарии пользователь импортирует существующий кошелек и вводит свою исходную фразу, передавая его мошенникам, стоящим за расширением, которые снова могут просмотреть информацию посредством небольшой транзакции.
«Когда пользователь создает или импортирует кошелек, Safery: Ethereum Wallet кодирует мнемонику BIP-39 в синтетические адреса в стиле Sui, а затем отправляет 0,000001 SUI этим получателям, используя жестко закодированную мнемонику субъекта угрозы», — пояснил Сокет, добавив:
“Декодируя получателей, злоумышленник восстанавливает исходную исходную фразу и может истощить затронутые активы. Мнемоника оставляет браузер скрытым внутри обычных транзакций блокчейна”.
Как пользователи криптовалюты могут избежать мошеннических расширений
Хотя это вредоносное расширение занимает высокие позиции в результатах поиска, есть некоторые явные признаки того, что ему не хватает легитимности.
По теме: Мошенники выдавали себя за австралийскую полицию, чтобы украсть криптовалюту, предупреждают власти
У расширения нет отзывов, очень ограниченный брендинг, некоторые грамматические ошибки в брендинге, нет официального веб-сайта и ссылки на разработчика, использующего учетную запись Gmail.
Людям важно провести серьезное исследование, прежде чем они будут иметь дело с какой-либо платформой и инструментом блокчейна, быть предельно осторожными с исходными фразами, иметь надежные методы кибербезопасности и исследовать хорошо зарекомендовавшие себя альтернативы с проверенной легитимностью.
Учитывая, что это расширение также отправляет микротранзакции, важно постоянно отслеживать и идентифицировать транзакции кошелька, поскольку даже небольшие транзакции могут быть вредными.
