Фальшивый Ethereum-кошелек в Chrome Web Store крадет сид-фразы

Платформа безопасности блокчейна Socket предупредила о новой угрозе, которая маскируется под надежный кошелек. Расширение для Ethereum в Chrome Web Store занимает четвертое место в поиске и крадет сид-фразы пользователей через хитрую схему с микротранзакциями.

Расширение «Safery: Ethereum Wallet» позиционирует себя как «надежное и безопасное расширение для браузера, предназначенное для простого и эффективного управления» активами на основе Ethereum. Однако на деле это инструмент для кражи сид-фраз через замаскированный бэкдор.

Схема работает следующим образом: когда пользователь создает новый кошелек или импортирует существующий, расширение превращает секретную сид-фразу для доступа в набор фальшивых адресов и отправляет крошечную сумму в криптовалюте Sui (0,000001 SUI) на эти адреса с кошелька, который контролируют мошенники.

«Декодируя получателей, злоумышленник восстанавливает исходную сид-фразу и может вывести затронутые активы. Мнемоническая утекает из браузера, скрытая внутри обычных блокчейн-транзакций», — объясняют в Socket.

Два сценария компрометации

Расширение предлагает пользователям два варианта: создать новый кошелек или импортировать существующий. В обоих случаях сид-фраза немедленно передается мошенникам.

При создании нового кошелька сид-фраза отправляется злоумышленнику через крошечную транзакцию в сети Sui уже в момент генерации. Поскольку кошелек скомпрометирован с первого дня, средства могут быть украдены в любой момент.

При импорте существующего кошелька пользователь сам вводит сид-фразу, которая тут же попадает к создателям расширения через ту же схему с микротранзакциями.

Признаки мошенничества

Несмотря на высокое место в результатах поиска — четвертая позиция при запросе «Ethereum Wallet», сразу после таких проверенных кошельков как MetaMask, Wombat и Enkrypt, — у расширения есть явные признаки мошеннического приложения.

У расширения нет ни одного отзыва, очень ограниченный брендинг, грамматические ошибки в некоторых элементах оформления, отсутствует официальный сайт, а в качестве контакта разработчика указан обычный Gmail-аккаунт.

Методы защиты

Специалисты рекомендуют проводить тщательное исследование перед использованием любых блокчейн-платформ и инструментов. Особенную осторожность следует проявлять при работе с сид-фразами и придерживаться надежных практик кибербезопасности.