Varning för skadlig kryptovaluta plånboksutvidgning
Blockchain-säkerhetsplattformen Socket har varnat för en ny skadlig kryptovaluta plånboksutvidgning på Googles Chrome Web Store, som har ett unikt sätt att stjäla seed phrases för att tömma användartillgångar. Utvidgningen kallas ”Safery: Ethereum Wallet” och utger sig för att vara ett ”pålitligt och säkert webbläsartillägg designat för enkel och effektiv hantering” av Ethereum-baserade tillgångar. Men som framhävs i en rapport från Socket, är utvidgningen faktiskt designad för att stjäla seed phrases via en listig bakdörr.
”Marknadsförd som en enkel och säker Ethereum (ETH) plånbok, innehåller den en bakdörr som exfiltrerar seed phrases genom att koda dem till Sui-adresser och sända mikrotransaktioner från en hotaktör-kontrollerad Sui-plånbok,” står det i rapporten.
Noterbart är att den för närvarande ligger som det fjärde sökresultatet för ”Ethereum Wallet” på Google Chrome-butiken, bara ett par platser bakom legitima plånböcker som MetaMask, Wombat och Enkrypt.
Potentiella säkerhetsrisker
Utvidgningen möjliggör för användare att skapa nya plånböcker eller importera befintliga från andra källor, vilket skapar två potentiella säkerhetsrisker för användaren. I det första scenariot skapar användaren en ny plånbok i utvidgningen och skickar omedelbart sin seed phrase till den onda aktören via en liten Sui-baserad transaktion. Eftersom plånboken är komprometterad från dag ett kan medlen stjälas när som helst. I det andra scenariot importerar användaren en befintlig plånbok och anger sin seed phrase, vilket ger den till bedragarna bakom utvidgningen, som återigen kan se informationen via den lilla transaktionen.
”När en användare skapar eller importerar en plånbok, kodar Safery: Ethereum Wallet BIP-39 mnemoniken till syntetiska Sui-stiladresser och skickar sedan 0.000001 SUI till dessa mottagare med hjälp av en hårdkodad hotaktörs mnemonik,” förklarade Socket och tillade: ”Genom att avkoda mottagarna återskapar hotaktören den ursprungliga seed phrase och kan tömma berörda tillgångar. Mnemoniken lämnar webbläsaren dold inne i normalt utseende blockchain-transaktioner.”
Hur kryptovaluta-användare kan undvika bedrägliga utvidgningar
Trots att denna skadliga utvidgning rankas högt i sökresultaten, finns det några tydliga tecken på att den saknar legitimitet. Utvidgningen har inga recensioner, mycket begränsad branding, grammatiska fel i en del av brandingen, ingen officiell webbplats och länkar till en utvecklare som använder ett Gmail-konto. Det är viktigt för människor att göra noggrann forskning innan de hanterar någon blockchain-plattform och verktyg, vara extremt försiktiga med seed phrases, ha solida cybersäkerhetspraxis och forska om väletablerade alternativ med verifierad legitimitet. Med tanke på att denna utvidgning också skickar mikrotransaktioner, är det avgörande att konsekvent övervaka och identifiera plånbokstransaktioner, eftersom även små transaktioner kan vara skadliga.
