一款名为“Safery: Ethereum Wallet”的恶意浏览器扩展目前仍在Chrome Web Store上线，采用巧妙的后门技术窃取用户的助记词，从而盗取资产。以下为其具体的运作方式说明。

区块链安全平台Socket警告称，谷歌Chrome Web Store出现了一款新的恶意加密钱包扩展，其利用特殊技术手段窃取用户的助记词，进而控制用户的资产。

该扩展名为“Safery: Ethereum Wallet”，宣传自己为“可靠且安全的浏览器扩展，旨在帮助用户便捷高效地管理以太坊资产”。

然而，正如Socket在周二的报告中指出的那样，该扩展实际上设计了巧妙的后门，专门用于窃取助记词。

“该产品表面上宣传为简单安全的以太坊钱包，但实际上包含后门，会将助记词编码到Sui地址中，并通过由攻击者控制的钱包发起微交易，将助记词泄露出去，”报告写道。

值得注意的是，该扩展在Chrome Web Store中“Ethereum Wallet”这个搜索关键词的排名中目前位居第四，仅次于MetaMask、Wombat和Enkrypt等正规钱包应用。

该扩展允许用户新建钱包或导入已有钱包，从而存在两种主要的安全风险：

• 第一种：用户在扩展中创建新钱包，并立即通过一个基于Sui的微交易将助记词（或其对应信息）发给非法分子。钱包一旦被植入后门，资金随时可能被窃取。
• 第二种：用户导入已有钱包并输入其助记词，扩展背后的攻击者便能通过观察微交易等方式获取敏感信息，从而掌控钱包。

根据Socket的分析，攻击者利用这种方式，将BIP-39助记词编码为类似Sui协议的虚假地址，然后用硬编码的威胁者的助记词向这些地址发送极小的SUI代币（例如0.000001个），以便在区块链交易中隐藏窃取行为。“通过解码这些交易，攻击者可以重建原始助记词，从而掏空被感染的钱包资产。”

如何规避恶意区块链扩展？

尽管该扩展在搜索排名中表现突出，但存在多个明显迹象表明它的非法性：

• 没有用户评论或评分
• 缺乏正规品牌标识
• 部分内容存在语法错误
• 没有官方网站
• 开发者联系方式仅为个人Gmail邮箱

在使用任何区块链工具或钱包前，务必进行充分的背景调研。对助记词由来保持高度警惕，养成良好的网络安全习惯，优先选择官方验证和信誉良好的应用程序或扩展。同时，因为该恶意扩展还会发送微型交易，持续监控钱包交易，及时识别异常行为也是保护资产的重要手段，即使是微不足道的小额交易也可能意味着潜在风险。

相关推荐：Bitfarms宣布逐步退出比特币挖矿业务，股价暴跌18%。