Alerte sur une extension de portefeuille crypto malveillante
La plateforme de sécurité blockchain Socket a récemment alerté sur une nouvelle extension de portefeuille crypto malveillante disponible sur le Chrome Web Store de Google, qui utilise une méthode astucieuse pour voler les phrases de récupération et vider les actifs des utilisateurs. Cette extension, nommée « Safery: Ethereum Wallet », se présente comme une « extension de navigateur fiable et sécurisée, conçue pour une gestion facile et efficace » des actifs basés sur Ethereum. Cependant, comme le souligne un rapport de Socket publié mardi, l’extension est en réalité conçue pour dérober les phrases de récupération via une porte dérobée.
« Commercialisée comme un simple portefeuille Ethereum (ETH) sécurisé, elle contient une porte dérobée qui exfiltre les phrases de récupération en les encodant dans des adresses Sui et en diffusant des microtransactions depuis un portefeuille Sui contrôlé par un acteur malveillant, » indique le rapport.
Notamment, elle se classe actuellement comme le quatrième résultat de recherche pour « Ethereum Wallet » sur le Chrome Web Store de Google, juste derrière des portefeuilles légitimes tels que MetaMask, Wombat et Enkrypt.
Risques de sécurité associés à l’extension
L’extension permet aux utilisateurs de créer de nouveaux portefeuilles ou d’importer des portefeuilles existants, ce qui présente deux risques de sécurité potentiels. Dans le premier scénario, l’utilisateur crée un nouveau portefeuille dans l’extension et envoie immédiatement sa phrase de récupération au mauvais acteur via une petite transaction basée sur Sui. Comme le portefeuille est compromis dès le premier jour, les fonds peuvent être volés à tout moment. Dans le deuxième scénario, l’utilisateur importe un portefeuille existant et entre sa phrase de récupération, la remettant ainsi aux escrocs derrière l’extension, qui peuvent à nouveau accéder à l’information via la petite transaction.
« Lorsque l’utilisateur crée ou importe un portefeuille, Safery: Ethereum Wallet encode le mnémonique BIP-39 en adresses de style Sui synthétiques, puis envoie 0,000001 SUI à ces destinataires en utilisant le mnémonique d’un acteur malveillant codé en dur, » a expliqué Socket, ajoutant : « En décodant les destinataires, l’acteur malveillant reconstruit la phrase de récupération originale et peut vider les actifs concernés. Le mnémonique quitte le navigateur dissimulé à l’intérieur de transactions blockchain à l’apparence normale. »
Conseils pour éviter les extensions frauduleuses
Bien que cette extension malveillante apparaisse en haut des résultats de recherche, plusieurs signes indiquent qu’elle manque de légitimité. L’extension n’a aucune évaluation, présente un branding très limité, contient des erreurs grammaticales dans certains éléments de branding, n’a pas de site web officiel, et les liens mènent à un développeur utilisant un compte Gmail. Il est crucial que les utilisateurs effectuent des recherches approfondies avant d’interagir avec toute plateforme ou outil blockchain, qu’ils soient extrêmement prudents avec leurs phrases de récupération, qu’ils adoptent de solides pratiques de cybersécurité, et qu’ils recherchent des alternatives bien établies avec une légitimité vérifiée. Étant donné que cette extension envoie également des microtransactions, il est essentiel de surveiller et d’analyser constamment les transactions de portefeuille, car même de petites transactions peuvent être nuisibles.
