Warnung vor bösartiger Krypto-Wallet-Erweiterung
Die Blockchain-Sicherheitsplattform Socket hat vor einer neuen bösartigen Krypto-Wallet-Erweiterung im Google Chrome Web Store gewarnt, die eine raffinierte Methode verwendet, um Seed-Phrasen zu stehlen und Benutzervermögen abzuziehen. Die Erweiterung trägt den Namen „Safery: Ethereum Wallet“ und bezeichnet sich selbst als „zuverlässige und sichere Browsererweiterung, die für die einfache und effiziente Verwaltung von Ethereum-basierten Vermögenswerten entwickelt wurde“. Allerdings, wie in einem Bericht von Socket am Dienstag hervorgehoben, ist die Erweiterung tatsächlich darauf ausgelegt, Seed-Phrasen über eine ausgeklügelte Hintertür zu stehlen.
„Als einfache, sichere Ethereum (ETH) Wallet beworben, enthält sie eine Hintertür, die Seed-Phrasen exfiltriert, indem sie in Sui-Adressen kodiert und Mikrotransaktionen von einer von einem Bedrohungsakteur kontrollierten Sui-Wallet sendet“,
heißt es in dem Bericht. Bemerkenswerterweise ist sie derzeit das vierthäufigste Suchergebnis für „Ethereum Wallet“ im Google Chrome Store, nur wenige Plätze hinter legitimen Wallets wie MetaMask, Wombat und Enkrypt.
Sicherheitsrisiken der Erweiterung
Die Erweiterung ermöglicht es Benutzern, neue Wallets zu erstellen oder bestehende von anderswo zu importieren, wodurch zwei potenzielle Sicherheitsrisiken für die Benutzer entstehen. Im ersten Szenario erstellt der Benutzer eine neue Wallet in der Erweiterung und sendet sofort seine Seed-Phrase über eine winzige Sui-basierte Transaktion an den böswilligen Akteur. Da die Wallet von Anfang an kompromittiert ist, können die Gelder jederzeit gestohlen werden. Im zweiten Szenario importiert der Benutzer eine bestehende Wallet und gibt seine Seed-Phrase ein, wodurch er sie den Betrügern hinter der Erweiterung überlässt, die die Informationen erneut über die kleine Transaktion einsehen können.
„Wenn ein Benutzer eine Wallet erstellt oder importiert, kodiert Safery: Ethereum Wallet die BIP-39-Mnemonik in synthetische Sui-Stil-Adressen und sendet dann 0,000001 SUI an diese Empfänger unter Verwendung der fest codierten Mnemonik des Bedrohungsakteurs“,
erklärte Socket und fügte hinzu:
„Durch das Dekodieren der Empfänger rekonstruiert der Bedrohungsakteur die ursprüngliche Seed-Phrase und kann betroffene Vermögenswerte abziehen. Die Mnemonik verlässt den Browser, verborgen in normal aussehenden Blockchain-Transaktionen.“
Wie Krypto-Nutzer betrügerische Erweiterungen vermeiden können
Während diese bösartige Erweiterung hoch in den Suchergebnissen erscheint, gibt es einige klare Anzeichen dafür, dass sie an Legitimität mangelt. Die Erweiterung hat keine Bewertungen, sehr begrenztes Branding, grammatikalische Fehler in einigen der Marken, keine offizielle Website und Links zu einem Entwickler, der ein Gmail-Konto verwendet. Es ist wichtig, dass die Menschen umfassende Recherchen durchführen, bevor sie mit einer Blockchain-Plattform und -Werkzeug umgehen, äußerst vorsichtig mit Seed-Phrasen sind, solide Cybersicherheitspraktiken anwenden und gut etablierte Alternativen mit verifizierter Legitimität recherchieren. Angesichts der Tatsache, dass diese Erweiterung auch Mikrotransaktionen sendet, ist es unerlässlich, Wallet-Transaktionen kontinuierlich zu überwachen, da selbst kleine Transaktionen schädlich sein könnten.
