Предупреждение о вредоносном расширении для криптокошелька
Платформа безопасности блокчейна Socket предупредила о новом вредоносном расширении для криптокошелька в Chrome Web Store от Google, которое использует уникальный способ кражи мнемонических фраз для опустошения активов пользователей. Это расширение называется «Safery: Ethereum Wallet» и позиционируется как «надежное и безопасное расширение для браузера, предназначенное для простого и эффективного управления» активами на основе Ethereum.
Мошеннические методы
Однако, как подчеркивается в отчете Socket, это расширение на самом деле предназначено для кражи мнемонических фраз через хитроумную заднюю дверь.
«Рекламируемое как простой и безопасный кошелек Ethereum (ETH), оно содержит заднюю дверь, которая экстрагирует мнемонические фразы, кодируя их в адреса Sui и транслируя микротранзакции из кошелька Sui, контролируемого злоумышленником,»
— говорится в отчете.
Риски для пользователей
Примечательно, что в настоящее время оно занимает четвертое место в результатах поиска по запросу «Ethereum Wallet» в магазине Google Chrome, всего на несколько позиций ниже легитимных кошельков, таких как MetaMask, Wombat и Enkrypt. Расширение позволяет пользователям создавать новые кошельки или импортировать существующие из других источников, что создает два потенциальных риска для безопасности:
- В первом сценарии пользователь создает новый кошелек в расширении и сразу же отправляет свою мнемоническую фразу злоумышленнику через небольшую транзакцию на основе Sui. Поскольку кошелек скомпрометирован с первого дня, средства могут быть украдены в любое время.
- Во втором сценарии пользователь импортирует существующий кошелек и вводит свою мнемоническую фразу, передавая ее мошенникам, стоящим за расширением, которые снова могут увидеть информацию через небольшую транзакцию.
Как работает мошенническое расширение
«Когда пользователь создает или импортирует кошелек, Safery: Ethereum Wallet кодирует мнемонику BIP-39 в синтетические адреса в стиле Sui, а затем отправляет 0.000001 SUI этим получателям, используя жестко закодированную мнемонику злоумышленника,»
— объяснил Socket, добавив:
«Расшифровывая получателей, злоумышленник восстанавливает оригинальную мнемоническую фразу и может опустошить затронутые активы. Мнемоника покидает браузер, скрытая внутри нормальных блокчейн-транзакций.»
Как избежать мошеннических расширений
Хотя это вредоносное расширение появляется высоко в результатах поиска, есть некоторые явные признаки, указывающие на его недействительность:
- У расширения нет отзывов.
- Очень ограниченный брендинг.
- Грамматические ошибки в некоторых элементах брендинга.
- Отсутствует официальный сайт и ссылки на разработчика, использующего аккаунт Gmail.
Важно, чтобы пользователи проводили тщательное исследование, прежде чем иметь дело с любой платформой и инструментом блокчейна, были крайне осторожны с мнемоническими фразами, соблюдали надежные практики кибербезопасности и исследовали хорошо зарекомендовавшие себя альтернативы с проверенной легитимностью. Учитывая, что это расширение также отправляет микротранзакции, крайне важно постоянно контролировать и идентифицировать транзакции кошелька, так как даже небольшие транзакции могут быть вредными.
