11 月的幾天裡,一款惡意 Chrome 擴展程序在 Chrome 網上應用商店搜索“以太坊錢包”時排名第四。
這款名為“Safery:以太坊錢包”的擴展程序看起來非常精緻,足以以假亂真。它擁有簡潔的圖標、安全提示語旁邊的通用名稱、大量五星好評,以及任何下載過加密錢包的人都熟悉的模板化描述。
在該前端背後,是一個專門設計的攻擊,旨在通過將竊取的秘密編碼到Sui區塊鏈上的微交易中來竊取助記詞並清空用戶錢包。
Socket 是一家專注於開源軟件供應鏈的安全工具公司,在發現該擴展程序後,該公司安裝並對其進行了分析。
他們的目標是瞭解“Safery”如何逃避檢測、提升Chrome應用商店排名、轉移被盜助記詞而不觸發警報,以及用戶如何識別類似威脅。該報告詳細分析了攻擊者的攻擊手法,既是對攻擊事件的分析,也是對瀏覽器擴展程序在加密領域仍然存在安全隱患的警示。
這個案例之所以引人注目,是因為黑客不僅僅竊取了助記詞。遺憾的是,在加密貨幣領域,助記詞的竊取早已屢見不鮮。
Safery 的特別之處在於,它並沒有模仿任何現有的錢包品牌,也不是Metamask 的仿製品或回收利用的釣魚域名。它虛構了一個身份,購買或通過機器人程序發佈虛假評論來提升搜索排名,並以“全新”錢包的名義推出。
這種方法意味著該列表不會立即顯示任何危險信號:沒有語法錯誤,沒有奇怪的權限,也沒有重定向到可疑的域名。
Chrome 網上應用商店發佈商頁面之前沒有任何投訴,其支持網址指向一個平臺外的網站,在 Socket 分析時,該網站尚未被安全跟蹤器標記。
鑑於其精美的外觀,大多數用戶都會毫不猶豫地點擊“添加到 Chrome”。該擴展程序請求在“所有網站”上運行,這對於需要訪問去中心化應用程序的加密錢包來說是一個常見的請求。
值得注意的是,它沒有要求用戶授予額外權限,也沒有嘗試注入會觸發 Chrome 更嚴格警告的內容腳本。品牌形象簡潔,網站名稱與擴展程序名稱相符,設置界面會提示用戶創建或導入錢包,這些都是標準操作。
種子盜竊案,通過Sui廣播
真正的危害始於用戶輸入助記詞之後。該擴展程序並沒有將助記詞存儲在本地或對其進行加密以供用戶訪問,而是悄悄地將其分割成多個片段,並將它們編碼成看似隨機的錢包地址。
Socket 的研究表明,這些片段被插入到Sui區塊鏈交易中。具體來說,該擴展程序向攻擊者控制的地址發送了數額極小的Sui代幣轉賬,這些金額微不足道,不會引起注意。
在這些交易記錄中,無論是備註字段還是混淆的地址,都隱藏著用戶的助記詞片段。
這種方法具有戰術優勢。它不需要擴展程序向惡意服務器發送出站請求。因此,不會出現瀏覽器或殺毒軟件可能標記的命令與控制信標或通過 HTTP 或 WebSocket 進行的竊取數據的情況。
惡意代碼以看似普通的區塊鏈交易形式離開用戶設備,並通過一條廣泛使用的低手續費鏈進行傳輸。一旦上鍊,數據便可公開訪問,攻擊者可以稍後檢索數據,重構助記詞,並在無需再次接觸用戶設備的情況下盜取錢包。
實際上,該騙局利用了Sui區塊鏈本身作為通信渠道。由於Sui具有快速確認時間和極低的交易成本,它就像一條低延遲的消息總線。
Socket追蹤了多起此類種子碎片交易,並證實了種子輸入與最終資產損失之間的關聯。雖然盜竊行為發生在鏈下,無論是在以太坊還是受害者錢包存放資金的其他L1服務器上,但實施盜竊的指令卻隱藏在顯眼之處。
在發佈最終登上 Chrome 錢包搜索結果榜首的版本之前,發佈者很可能私下測試過這種方法。有證據表明,在Sui編碼改進之前,早期版本曾嘗試過更簡單的數據洩露方式。
當該活躍擴展程序被標記時,其安裝量已足以躋身 Chrome 的“熱門”行列,進一步提升了其曝光度。Brave New Coin 報道稱,即便在 Reddit 和 Telegram 上已有關於其可疑行為的報道流傳,Safery 錢包仍然在“以太坊錢包”的搜索結果中名列前茅。
Chrome算法是如何導致這種情況發生的
Safery 的成功取決於 Chrome 的排名算法。Chrome 網上應用商店的搜索算法會綜合考慮關鍵詞匹配度、安裝量、評論速度、平均評分和更新頻率等因素。
一些流量激增的擴展程序,尤其是在細分領域,如果經過更嚴格審核的競爭對手沒有及時更新,排名可能會迅速攀升。例如,“Safery”這個擴展程序名稱在常用搜索詞中得分很高,獲得了大量好評,但其中很多是模板化的或重複的,而且上傳日期也很新。
沒有證據表明谷歌在發佈前對該擴展程序進行過人工審核。Chrome網上應用商店的政策是,對大多數新擴展程序進行簡單的自動掃描和基本的靜態分析。
當擴展程序請求更高的權限時,例如訪問標籤頁、剪貼板、文件系統或歷史記錄,它們會受到更嚴格的審查。錢包擴展程序通常通過在 iframe 中運行或使用已獲批准的 API 來規避這些警告。“Safery”始終遵循這些規則。
即使用戶提出了擔憂,從舉報到下架的時間也足以造成損害。這種延遲部分源於結構性問題:除非有大量用戶一致意見或已知的惡意軟件特徵,否則 Chrome 不會立即對被標記的擴展程序採取行動。
在這種情況下,惡意代碼是經過混淆處理的 JavaScript 代碼,它依賴於區塊鏈基礎設施,而非外部主機。傳統的惡意軟件檢測方法未能檢測到它。
這並非Chrome擴展程序首次被用於竊取加密貨幣。此前的詐騙案例包括偽造的Ledger Live應用程序,誘騙用戶輸入恢復短語;以及劫持合法擴展程序,使攻擊者能夠訪問開發者的發佈密鑰。
Safery 的獨特之處在於其簡潔流暢的界面和零後端基礎設施。無需關閉釣魚網站,無需封鎖服務器,只需一個擴展程序將密鑰轉移到公共鏈上即可。
用戶仍然有一些補救措施。如果他們行動迅速,可以通過輪換種子和撤銷交易授權來限制風險。
Socket 和其他機構為所有安裝了該擴展程序的用戶提供了應急步驟:立即卸載、撤銷所有代幣授權、使用乾淨的設備將資產轉移到新錢包,並監控相關地址。對於那些沒有注意到數據洩露或在熱錢包中存儲了大量資金的用戶來說,恢復的可能性仍然很小。
真正的麻煩在錢包充值之前就已經開始了。
安全研究人員和開發人員呼籲 Chrome 瀏覽器採用更強大的啟發式算法。一種建議的解決方案是自動標記任何包含提示用戶輸入 12 或 24 個單詞短語的 UI 元素的擴展程序。
另一種方法是要求錢包擴展程序提供發佈者認證,從而提供可驗證的證據,證明特定發佈者控制著知名錢包品牌背後的代碼庫。此外,還有人呼籲加強對錢包相關權限的審查,即使這些權限不包含危險的訪問模式。
Socket 為最終用戶發佈了一份實用的擴展管理檢查清單。在安裝任何加密擴展之前,用戶應查看發佈者的歷史記錄,確認其與已知項目關聯,檢查評論模式(尤其要注意大量重複的評論),檢查其網站鏈接是否真實且指向公開的 GitHub 代碼庫,並查看權限選項卡,確認是否存在權限範圍過廣或權限過低的情況。
良好的聲譽和高評分還不夠。
此案例引發了關於瀏覽器在加密貨幣領域所扮演角色的更廣泛的思考。瀏覽器錢包因其便捷性和易用性而廣受歡迎。它們使用戶無需切換平臺或下載單獨的應用程序即可與去中心化應用程序進行交互。
但這種便捷性也帶來了風險。瀏覽器是一個高風險環境,容易受到擴展程序操縱、會話劫持、剪貼板抓取以及如今隱蔽的區塊鏈數據竊取等攻擊。
錢包開發者可能會重新考慮分發模式。一些團隊已經不鼓勵用戶從 Chrome 網上應用商店安裝,而是更傾向於移動應用或桌面二進制文件。其他團隊可能會對嘗試從未經核實的來源安裝的用戶發出警告。
核心問題依然存在:分發渠道分散,大多數用戶不知道如何區分合法錢包和精心設計的克隆錢包。
“Safery”擴展程序無需模仿Metamask或偽裝成Phantom。它創建了自己的品牌,散佈虛假的信任信號,並構建了一個利用Sui區塊鏈作為信使的隱形後門。
這應該會促使人們重新思考如何在加密貨幣用戶體驗中建立信任,以及像瀏覽器擴展程序這樣的普通工具與底層技術的接近程度。
加密貨幣用戶認為 Web3 意味著主權和自主保管。但如果落入不法分子之手,瀏覽器錢包就不是保險庫,而是一個開放的端口。而且 Chrome 瀏覽器並非總能在信息洩露前發出警告。
