Advarsel om Ondsinnet Kryptovaluta-Lommebokutvidelse
Blockchain-sikkerhetsplattformen Socket har advart om en ny ondsinnet kryptovaluta-lommebokutvidelse på Googles Chrome Web Store, som har en unik metode for å stjele seed-frase og tømme brukerens eiendeler. Utvidelsen kalles «Safery: Ethereum Wallet» og beskriver seg selv som en «pålitelig og sikker nettleserutvidelse designet for enkel og effektiv forvaltning» av Ethereum-baserte eiendeler. Imidlertid, som fremhevet i en rapport fra Socket tirsdag, er utvidelsen faktisk designet for å stjele seed-frase via en smart bakdør.
«Markedsført som en enkel, sikker Ethereum (ETH) lommebok, inneholder den en bakdør som eksfiltrerer seed-frase ved å kode dem inn i Sui-adresser og kringkaste mikrotransaksjoner fra en trusselaktør-kontrollert Sui-lommebok,» står det i rapporten.
Det er bemerkelsesverdig at den for øyeblikket ligger som det fjerde søkeresultatet for «Ethereum Wallet» på Google Chrome-butikken, bare et par plasser bak legitime lommebøker som MetaMask, Wombat og Enkrypt.
Sikkerhetsrisikoer ved Utvidelsen
Utvidelsen gjør det mulig for brukere å opprette nye lommebøker eller importere eksisterende fra andre steder, noe som etablerer to potensielle sikkerhetsrisikoer for brukeren. I det første scenariet oppretter brukeren en ny lommebok i utvidelsen og sender umiddelbart sin seed-frase til den ondsinnede aktøren via en liten Sui-basert transaksjon. Siden lommeboken er kompromittert fra dag én, kan midlene stjeles når som helst. I det andre scenariet importerer brukeren en eksisterende lommebok og skriver inn sin seed-frase, og gir dermed informasjonen til svindlerne bak utvidelsen, som igjen kan se informasjonen via den lille transaksjonen.
«Når en bruker oppretter eller importerer en lommebok, koder Safery: Ethereum Wallet BIP-39 mnemonikken inn i syntetiske Sui-stil adresser, og sender deretter 0.000001 SUI til disse mottakerne ved hjelp av en hardkodet trusselaktørs mnemonikk,» forklarte Socket, og la til: «Ved å dekode mottakerne, rekonstruerer trusselaktøren den originale seed-frasen og kan tømme berørte eiendeler. Mnemonikken forlater nettleseren skjult inne i normalt utseende blockchain-transaksjoner.»
Hvordan Unngå Svindelutvidelser
Selv om denne ondsinnede utvidelsen ser ut til å være høyt oppe i søkeresultatene, er det noen klare tegn på at den mangler legitimitet. Utvidelsen har null anmeldelser, svært begrenset merkevarebygging, grammatiske feil i noe av merkevaren, ingen offisiell nettside, og lenker til en utvikler som bruker en Gmail-konto. Det er viktig for folk å gjøre betydelig forskning før de håndterer noen blockchain-plattform og verktøy, være ekstremt forsiktige med seed-frase, ha solide cybersikkerhetspraksiser, og forske på veletablerte alternativer med bekreftet legitimitet.
Gitt at denne utvidelsen også sender mikrotransaksjoner, er det avgjørende å kontinuerlig overvåke og identifisere lommeboktransaksjoner, da selv små transaksjoner kan være skadelige.
