Advarsel om Ondsindet Kryptovaluta-Tegnebogsudvidelse
Blockchain-sikkerhedsplatformen Socket har advaret om en ny ondsindet kryptovaluta-tegnebogsudvidelse på Googles Chrome Web Store, der har en unik metode til at stjæle seed phrases og tømme brugerens aktiver. Udvidelsen kaldes “Safery: Ethereum Wallet” og præsenterer sig selv som en “pålidelig og sikker browserudvidelse designet til nem og effektiv forvaltning” af Ethereum-baserede aktiver. Men som fremhævet i en tirsdagsrapport fra Socket, er udvidelsen faktisk designet til at stjæle seed phrases via en snedig bagdør.
“Markedsført som en simpel, sikker Ethereum (ETH) tegnebog, indeholder den en bagdør, der eksfiltrerer seed phrases ved at kode dem ind i Sui-adresser og udsende mikrotransaktioner fra en trusselaktør-kontrolleret Sui-tegnebog,” står der i rapporten.
Bemærkelsesværdigt sidder den i øjeblikket som det fjerde søgeresultat for “Ethereum Wallet” på Google Chrome-butikken, kun et par pladser bag legitime tegnebøger som MetaMask, Wombat og Enkrypt.
Sikkerhedsrisici ved Udvidelsen
Udvidelsen giver brugerne mulighed for at oprette nye tegnebøger eller importere eksisterende fra andre steder, hvilket skaber to potentielle sikkerhedsrisici for brugeren. I det første scenarie opretter brugeren en ny tegnebog i udvidelsen og sender straks deres seed phrase til den ondsindede aktør via en lille Sui-baseret transaktion. Da tegnebogen er kompromitteret fra dag ét, kan midlerne stjæles når som helst. I det andet scenarie importerer brugeren en eksisterende tegnebog og indtaster deres seed phrase, hvilket giver svindleren bag udvidelsen mulighed for at se oplysningerne via den lille transaktion.
“Når en bruger opretter eller importerer en tegnebog, koder Safery: Ethereum Wallet BIP-39 mnemonic ind i syntetiske Sui-stil adresser og sender derefter 0.000001 SUI til disse modtagere ved hjælp af en hardcoded trusselaktørs mnemonic,” forklarede Socket og tilføjede: “Ved at dekode modtagerne rekonstruerer trusselaktøren den oprindelige seed phrase og kan tømme de berørte aktiver. Mnemonic’en forlader browseren skjult inde i normalt udseende blockchain-transaktioner.”
Hvordan Undgå Svindeludvidelser
Selvom denne ondsindede udvidelse rangerer højt i søgeresultaterne, er der nogle klare tegn på, at den mangler legitimitet. Udvidelsen har nul anmeldelser, meget begrænset branding, grammatiske fejl i nogle af brandingene, ingen officiel hjemmeside og links til en udvikler, der bruger en Gmail-konto. Det er vigtigt for folk at lave betydelig research, før de beskæftiger sig med nogen blockchain-platform og værktøj, være ekstremt forsigtige med seed phrases, have solide cybersikkerhedspraksisser og undersøge veletablerede alternativer med verificeret legitimitet.
Da denne udvidelse også sender mikrotransaktioner, er det essentielt at overvåge og identificere tegnebogstransaktioner konsekvent, da selv små transaktioner kan være skadelige.
