Криптокошелек в Chrome Web Store может похищать сид-фразы — Socket

О новом вредоносе предупредили в Socket. Safery: Ethereum Wallet позиционирует себя как «надежное и безопасное расширение для браузера, предназначенное для простого и эффективного управления» активами на базе Ethereum.

«Расширение рекламируется как простой и безопасный кошелек Ethereum. Однако на деле оно содержит бэкдор, который похищает сид-фразы и кодирует их в адреса Sui. Потом кошелек отправляет незаметную сумму токенов Sui на этот “адрес-фразу”», — отметили эксперты.

Промо Safery Wallet. Источник: Chrome Store.

На момент написания вредоносное приложение занимает четвертое место в результатах поиска по запросу «Ethereum Wallet» в магазине Google Chrome. Опережают его только легитимные кошельки MetaMask, Wombat и Enkrypt.

По теме: где и как безопасно хранить стейблкоины — гайд для новичков

Результаты поиска в магазине Google Chrome. Источник: Chrome Store.

Как работает Safery Wallet

Вредонос создает сразу два потенциальных риска для пользователей:

1. Первый сценарий: когда пользователь создает новый кошелек через это расширение, оно мгновенно отправляет его сид-фразу злоумышленникам через микроскопическую транзакцию в сети Sui. Поскольку кошелек скомпрометирован с момента создания, все средства на нем могут быть украдены в любой момент.
2. Второй сценарий: если пользователь импортирует существующий кошелек, вводя свою сид-фразу, он фактически передает ее мошенникам. Расширение также пересылает эту информацию через небольшую транзакцию, что дает киберпреступникам полный доступ к импортированному кошельку и всем его активам.

«Когда пользователь создает или импортирует кошелек, Safery: Ethereum Wallet кодирует BIP-39 мнемоническую фразу в синтетические адреса в стиле Sui, а затем отправляет 0,000001 SUI этим получателям, используя жестко заданную мнемоническую фразу злоумышленника», — пояснили в Socket.

Эксперты по безопасности также добавили:

«Расшифровывая получателей, злоумышленник восстанавливает исходную сид-фразу и может опустошить затронутые активы. Мнемоника покидает браузер, скрытая внутри обычных на вид блокчейн-транзакций».

По теме: США намерены пополнить крипторезерв на $14 млрд через дело о мошенничестве

Как избежать рисков

Хотя это вредоносное расширение появляется высоко в результатах поиска, есть явные признаки его нелегитимности.

У расширения нет отзывов, очень ограниченный брендинг, грамматические ошибки в некоторых элементах в описании продукта, нет официального веб-сайта, а ссылки ведут на разработчика, использующего аккаунт Gmail.

Крайне важно проводить тщательное исследование перед использованием любой блокчейн-платформы и инструмента, быть осторожными с сид-фразами, применять надежные практики кибербезопасности и изучать хорошо зарекомендовавшие себя альтернативы с подтвержденной легитимностью.

Поскольку расширение позволяет совершать микротранзакции, то необходимо также постоянно отслеживать и идентифицировать операции кошелька.

По теме: DeFi внутри Telegram — как экосистема TON превращает мессенджер в Web3-платформу