Safery:以太坊錢包 Chrome 擴充程序
網路安全研究人員發現了一款偽裝成合法以太坊錢包的危險Chrome擴充程式。這款名為Safery: Ethereum Wallet的擴充功能聲稱提供「具有靈活設定的安全以太坊錢包」。它於2025年9月29日首次上架Chrome線上應用商店,最近一次更新是在11月12日。儘管它看起來像一個簡單安全的以太坊(ETH)錢包,但實際上卻隱藏著旨在竊取用戶助記詞的複雜惡意軟體。
目錄
惡意軟體的運作方式
這個惡意擴充程式包含一個後門,它會將錢包助記詞編碼到偽造的Sui位址中,從而竊取這些資訊。然後,它會從攻擊者控制的Sui錢包廣播微交易,使攻擊者無需傳統的命令與控制(C2)伺服器即可提取敏感資訊。
工作流程如下:
- 此擴充功能將使用者的助記詞編碼為 Sui 位址。
- 它從攻擊者的錢包向這些虛假地址發送微小的微交易(0.000001 SUI)。
- 攻擊者監控區塊鏈並解碼接收者位址,以重建原始助記詞。
- 一旦重建完成,攻擊者就可以從受害者的錢包中榨乾所有資產。
這種方法使攻擊者能夠透過看似正常的區塊鏈交易走私敏感數據,繞過傳統的檢測機制。
威脅偵測挑戰
這種攻擊技術尤其隱蔽,因為它允許攻擊者輕鬆切換區塊鏈和RPC端點。因此,僅依賴網域名稱、URL或特定擴充ID的防禦措施可能失效。來自瀏覽器的意外區塊鏈RPC調用,尤其是在產品聲稱運行於單鏈的情況下,應被視為高風險訊號。
建議的緩解策略
為防範此威脅,網路安全專家建議採取以下預防措施:
用戶須知:請僅從可信賴且經過驗證的來源安裝錢包擴充功能。避免安裝新發布或評價較少的擴充功能。
對於防禦者:掃描瀏覽器擴充程序,尋找惡意行為,例如助記詞編碼器、合成位址產生器和硬編碼的種子短語。阻止任何在建立或匯入錢包期間嘗試將交易寫入鏈上的擴充功能。
透過這些預防措施,終端使用者和安全團隊都可以顯著降低助記詞被盜和未經授權的資金提取的風險。
