Sikkerhet: Ethereum Wallet Chrome-utvidelse
Forskere innen nettsikkerhet har identifisert en farlig Chrome-utvidelse som utgir seg for å være en legitim Ethereum-lommebok. Utvidelsen, kalt Safery: Ethereum Wallet, hevder å tilby en «sikker lommebok for administrasjon av Ethereum-kryptovaluta med fleksible innstillinger». Den ble først lastet opp til Chrome Nettmarked 29. september 2025, med sin siste oppdatering 12. november. Til tross for at den ser ut som en enkel og sikker Ethereum (ETH)-lommebok, skjuler den sofistikert skadelig programvare som er designet for å stjele brukernes såkalte «seed phrases».
Innholdsfortegnelse
Hvordan skadelig programvare fungerer
Den ondsinnede utvidelsen inneholder en bakdør som utfiltrerer mnemoniske fraser fra lommeboken ved å kode dem inn i falske Sui-adresser. Deretter kringkaster den mikrotransaksjoner fra en Sui-lommebok kontrollert av trusselaktører, slik at angriperen kan utvinne sensitiv informasjon uten en tradisjonell kommando-og-kontroll-server (C2).
Arbeidsflyten er som følger:
- Utvidelsen koder en brukers frøfrase som en Sui-adresse.
- Den sender ørsmå mikrotransaksjoner (0,000001 SUI) til disse falske adressene fra angriperens lommebok.
- Angriperen overvåker blokkjeden og dekoder mottakeradressene for å rekonstruere de opprinnelige frøfrasene.
- Når den er rekonstruert, kan angriperen tømme offerets eiendeler fra lommeboken deres.
Denne metoden gjør det mulig for angriperen å smugle sensitive data gjennom tilsynelatende normale blokkjedetransaksjoner, og omgå tradisjonelle deteksjonsmekanismer.
Utfordringer med trusseldeteksjon
Denne angrepsteknikken er spesielt snikende fordi den lar trusselaktører enkelt bytte kjeder og RPC-endepunkter. Som et resultat kan forsvar som utelukkende er avhengig av domener, URL-er eller spesifikke utvidelses-ID-er, mislykkes. Uventede RPC-kall fra nettleseren i blokkjeden, spesielt når produktet hevder å operere på én enkelt kjede, bør behandles som høyrisikosignaler.
Anbefalte avbøtende strategier
For å beskytte mot denne trusselen anbefaler cybersikkerhetseksperter følgende forholdsregler:
For brukere : Installer kun lommebokutvidelser fra pålitelige og verifiserte kilder. Unngå utvidelser som nylig er publisert eller har begrensede anmeldelser.
For forsvarere : Skann nettleserutvidelser for ondsinnet oppførsel som mnemoniske kodere, syntetiske adressegeneratorer og hardkodede såfraser. Blokker alle utvidelser som prøver å skrive transaksjoner på kjeden under oppretting eller import av lommebøker.
Ved å bruke disse forholdsreglene kan både sluttbrukere og sikkerhetsteam redusere risikoen for tyveri av såkornfraser og uautoriserte uttak av midler betydelig.
