Safery:以太坊钱包 Chrome 扩展程序
网络安全研究人员发现了一款伪装成合法以太坊钱包的危险Chrome扩展程序。这款名为Safery: Ethereum Wallet的扩展程序声称提供“具有灵活设置的安全以太坊钱包”。它于2025年9月29日首次上架Chrome网上应用商店,最近一次更新是在11月12日。尽管它看起来像一个简单安全的以太坊(ETH)钱包,但实际上却隐藏着旨在窃取用户助记词的复杂恶意软件。
目录
恶意软件的运作方式
该恶意扩展程序包含一个后门,它会将钱包助记词编码到伪造的Sui地址中,从而窃取这些信息。然后,它会从攻击者控制的Sui钱包广播微交易,使攻击者无需传统的命令与控制(C2)服务器即可提取敏感信息。
工作流程如下:
- 该扩展程序将用户的助记词编码为 Sui 地址。
- 它从攻击者的钱包向这些虚假地址发送微小的微交易(0.000001 SUI)。
- 攻击者监控区块链并解码接收者地址,以重建原始助记词。
- 一旦重建完成,攻击者就可以从受害者的钱包中榨干所有资产。
这种方法使攻击者能够通过看似正常的区块链交易走私敏感数据,绕过传统的检测机制。
威胁检测挑战
这种攻击技术尤其隐蔽,因为它允许攻击者轻松切换区块链和RPC端点。因此,仅依赖域名、URL或特定扩展ID的防御措施可能失效。来自浏览器的意外区块链RPC调用,尤其是在产品声称运行于单链的情况下,应被视为高风险信号。
推荐的缓解策略
为防范此威胁,网络安全专家建议采取以下预防措施:
用户须知:请仅从可信且经过验证的来源安装钱包扩展程序。避免安装新发布或评价较少的扩展程序。
对于防御者:扫描浏览器扩展程序,查找恶意行为,例如助记词编码器、合成地址生成器和硬编码的种子短语。阻止任何在创建或导入钱包期间尝试将交易写入链上的扩展程序。
通过采取这些预防措施,终端用户和安全团队都可以显著降低助记词被盗和未经授权的资金提取的风险。
