Safery: Tiện ích mở rộng Chrome của Ví Ethereum

Các nhà nghiên cứu an ninh mạng đã phát hiện một tiện ích mở rộng nguy hiểm trên Chrome đang giả mạo ví Ethereum hợp pháp. Được đặt tên là Safery: Ethereum Wallet, tiện ích mở rộng này tuyên bố cung cấp một "ví an toàn để quản lý tiền điện tử Ethereum với các thiết lập linh hoạt". Lần đầu tiên nó được tải lên Cửa hàng Chrome trực tuyến vào ngày 29 tháng 9 năm 2025, với bản cập nhật gần đây nhất vào ngày 12 tháng 11. Mặc dù có vẻ ngoài đơn giản và an toàn như một ví Ethereum (ETH), nó lại ẩn chứa phần mềm độc hại tinh vi được thiết kế để đánh cắp cụm từ hạt giống của người dùng.

Phần mềm độc hại hoạt động như thế nào

Tiện ích mở rộng độc hại này chứa một backdoor có thể trích xuất các cụm từ ghi nhớ trong ví bằng cách mã hóa chúng thành các địa chỉ Sui giả. Sau đó, nó phát tán các giao dịch vi mô từ ví Sui do kẻ tấn công kiểm soát, cho phép kẻ tấn công trích xuất thông tin nhạy cảm mà không cần máy chủ Command-and-Control (C2) truyền thống.

Quy trình làm việc như sau:

• Phần mở rộng mã hóa cụm từ hạt giống của người dùng thành địa chỉ Sui.
• Nó gửi các giao dịch siêu nhỏ (0,000001 SUI) đến các địa chỉ giả mạo này từ ví của kẻ tấn công.
• Kẻ tấn công theo dõi chuỗi khối và giải mã địa chỉ người nhận để tái tạo cụm từ hạt giống ban đầu.
• Sau khi khôi phục lại, kẻ tấn công có thể rút hết tài sản trong ví của nạn nhân.

Phương pháp này cho phép kẻ tấn công lén lút đưa dữ liệu nhạy cảm qua các giao dịch blockchain có vẻ bình thường, bỏ qua các cơ chế phát hiện truyền thống.

Thách thức phát hiện mối đe dọa

Kỹ thuật tấn công này đặc biệt khó phát hiện vì nó cho phép kẻ tấn công dễ dàng chuyển đổi chuỗi và điểm cuối RPC. Do đó, các biện pháp phòng thủ chỉ dựa vào tên miền, URL hoặc ID tiện ích mở rộng cụ thể có thể thất bại. Các lệnh gọi RPC blockchain bất ngờ từ trình duyệt, đặc biệt là khi sản phẩm tuyên bố hoạt động trên một chuỗi duy nhất, nên được coi là tín hiệu rủi ro cao.

Các chiến lược giảm thiểu được đề xuất

Để bảo vệ chống lại mối đe dọa này, các chuyên gia an ninh mạng khuyên bạn nên thực hiện các biện pháp phòng ngừa sau:

Đối với người dùng : Chỉ cài đặt tiện ích mở rộng ví từ các nguồn đáng tin cậy và đã được xác minh. Tránh các tiện ích mở rộng mới phát hành hoặc có ít lượt đánh giá.

Đối với người bảo vệ : Quét các tiện ích mở rộng trình duyệt để tìm các hành vi độc hại như bộ mã hóa ghi nhớ, trình tạo địa chỉ tổng hợp và cụm từ hạt giống được mã hóa cứng. Chặn bất kỳ tiện ích mở rộng nào cố gắng ghi giao dịch trên chuỗi trong quá trình tạo hoặc nhập ví.

Bằng cách áp dụng các biện pháp phòng ngừa này, cả người dùng cuối và nhóm bảo mật đều có thể giảm đáng kể nguy cơ bị đánh cắp cụm từ hạt giống và rút tiền trái phép.