區塊鏈安全平台Socket警告稱,谷歌Chrome Web Store上出現了一款新的惡意加密錢包擴充功能,其通過獨特手法竊取助記詞,從而盜取用戶資產。
該擴充功能名為“Safery: Ethereum Wallet”,自稱是一款“可靠且安全的瀏覽器擴充功能,旨在便捷高效地管理基於以太坊的資產”。
然而,正如Socket週二報告中所強調,該擴充功能實際上通過巧妙的後門設計來竊取助記詞。
“該產品被宣傳為簡單、安全的以太坊錢包,但它內含後門,會將助記詞編碼進Sui地址,並通過由威脅者控制的錢包發起微交易進行外洩,”報告寫道。
值得注意的是,它目前在谷歌Chrome商店中“Ethereum Wallet”的搜索結果中排名第四,僅次於MetaMask、Wombat和Enkrypt等合法錢包。
該擴充功能允許用戶創建新錢包或從其他地方匯入現有錢包,從而為用戶帶來兩種潛在的安全風險。
在第一種情況下,用戶在擴充功能中創建新錢包,並通過一個小型的基於Sui的交易立即將其助記詞發送給不法分子。由於錢包從一開始就被攻破,資金隨時可能被盜。
在第二種情況下,用戶匯入現有錢包並輸入其助記詞,將其交給擴充功能背後的騙子,他們可以通過小交易再次查看信息。
“當用戶創建或匯入錢包時,Safery: Ethereum Wallet將BIP-39助記詞編碼為合成的Sui風格地址,然後使用硬編碼的威脅行為者的助記詞向這些接收者發送0.000001 SUI,”Socket解釋道,並補充說:
“通過解碼接收者,威脅行為者重建原始助記詞並可以掏空受影響的資產。助記詞隱藏在看似正常的區塊鏈交易中離開瀏覽器。”
加密貨幣用戶如何規避惡意擴充功能
儘管這個惡意擴充功能在搜索結果中排名靠前,但有一些明顯跡象表明其不具備合法性。
該擴充功能沒有任何評論、品牌標識極少、部分品牌內容存在語法錯誤、無官方網站,並且開發者聯繫方式僅為Gmail信箱。
人們在使用任何區塊鏈平台和工具前務必做好充分調研,對待助記詞要格外謹慎,養成良好的網絡安全習慣,並優先選擇經過驗證、信譽良好的替代方案。
鑑於該擴充功能還會發送微型交易,因此持續監控和識別錢包交易至關重要,即使是極小金額也可能帶來風險。