Seguretat: Extensió de Chrome per a Ethereum Wallet
Investigadors de ciberseguretat han identificat una extensió perillosa de Chrome que es fa passar per una cartera Ethereum legítima. Anomenada Safery: Ethereum Wallet, l'extensió afirma oferir una "cartera segura per gestionar la criptomoneda Ethereum amb configuracions flexibles". Es va penjar per primera vegada a la Chrome Web Store el 29 de setembre de 2025, i la seva actualització més recent va ser el 12 de novembre. Malgrat la seva aparença com una cartera Ethereum (ETH) senzilla i segura, amaga programari maliciós sofisticat dissenyat per robar les frases inicials dels usuaris.
Taula de continguts
Com funciona el programari maliciós
L'extensió maliciosa conté una porta del darrere que exfiltra frases mnemotèniques de la cartera codificant-les en adreces Sui falses. A continuació, emet microtransaccions des d'una cartera Sui controlada per un actor amenaçador, cosa que permet a l'atacant extreure informació sensible sense un servidor de comandament i control (C2) tradicional.
El flux de treball és el següent:
- L'extensió codifica la frase llavor d'un usuari com una adreça Sui.
- Envia petites microtransaccions (0,000001 SUI) a aquestes adreces falses des del moneder de l'atacant.
- L'atacant monitoritza la cadena de blocs i descodifica les adreces dels destinataris per reconstruir les frases originals.
- Un cop reconstruït, l'atacant pot drenar els actius de la víctima de la seva cartera.
Aquest mètode permet a l'atacant introduir dades sensibles a través de transaccions de blockchain aparentment normals, evitant els mecanismes de detecció tradicionals.
Reptes de detecció d’amenaces
Aquesta tècnica d'atac és particularment furtiva perquè permet als actors d'amenaces canviar fàcilment les cadenes i els punts finals RPC. Com a resultat, les defenses que es basen únicament en dominis, URL o ID d'extensió específics poden fallar. Les crides RPC de blockchain inesperades des del navegador, especialment quan el producte afirma que funciona en una sola cadena, s'han de tractar com a senyals d'alt risc.
Estratègies de mitigació recomanades
Per protegir-se contra aquesta amenaça, els experts en ciberseguretat recomanen les següents precaucions:
Per als usuaris : instal·leu extensions de cartera només de fonts fiables i verificades. Eviteu les extensions que s'hagin publicat recentment o que tinguin ressenyes limitades.
Per a defensors : escanegeu les extensions del navegador per detectar comportaments maliciosos com ara codificadors mnemotècnics, generadors d'adreces sintètiques i frases inicials codificades. Bloquegeu qualsevol extensió que intenti escriure transaccions a la cadena durant la creació o importació del moneder.
Aplicant aquestes precaucions, tant els usuaris finals com els equips de seguretat poden reduir significativament el risc de robatori de frases llavor i retirades de fons no autoritzades.
