Czwarty na liście najpopularniejszych portfeli kryptowalutowych w Chrome Web Store okazał się programem, który ułatwiał kradzieże fraz seed.
- Popularny portfel na kryptowaluty okazał się narzędziem do kradzieży fraz seed.
- Otoczka rozszerzenia wskazywała na to, że coś jest nie tak.
Portfel na kryptowaluty ułatwiał kradzieże?
Platforma ds. cyberbezpieczeństwa Socket ostrzega przed nowym rozszerzeniem portfela kryptowalutowego w Google Chrome Web Store, które umożliwia unikalny sposób kradzieży fraz seed w celu wykradania zasobów użytkowników.
Chodzi o rozszerzenie „Safery: Ethereum Wallet”, które ma być „niezawodnym i bezpiecznym rozszerzeniem przeglądarki zaprojektowanym do łatwego i efektywnego zarządzania” aktywami opartymi na sieci Ethereum. Brzmi dobrze i niewinnie, ale w praktyce umożliwia kradzież fraz seed za pomocą backdoora.
Promowany jako prosty, bezpieczny portfel Ethereum (ETH), zawiera backdoora, który eksfiltruje frazy początkowe, kodując je w adresach Sui i transmitując mikropłatności z portfela Sui kontrolowanego przez cyberprzestępców
– czytamy w raporcie.
Co ciekawe, obecnie portfel znajduje się na czwartym miejscu wyników wyszukiwania hasła „Portfel Ethereum” w sklepie Google Chrome, za MetaMask, Wombat i Enkrypt.
Jak to działa?
Rozszerzenie umożliwia użytkownikom tworzenie nowych portfeli lub importowanie istniejących z innych źródeł, co stwarza dwa potencjalne zagrożenia.
W pierwszym scenariuszu użytkownik po prostu tworzy nowy portfel i natychmiast wysyła swoją frazę seed do cyberprzestępcy za pośrednictwem niewielkiej transakcji opartej na Sui.
Wtedy nowy portfel jest zagrożony od pierwszego dnia istnienia.
W alternatywnym scenariuszu użytkownik importuje istniejący portfel i wprowadza swoją frazę seed, przekazując ją tym samym oszustom stojącym za rozszerzeniem. I wtedy portfel może zostać wyczyszczony przez hakerów.
Kiedy użytkownik tworzy lub importuje portfel, Safery: Ethereum Wallet koduje mnemonik BIP-39 na syntetyczne adresy w stylu Sui, a następnie wysyła 0,000001 SUI do tych odbiorców, używając zakodowanego na stałe mnemonika atakującego
– wyjaśnia Socket.
Dekodując odbiorców, atakujący rekonstruuje oryginalną frazę początkową i może wykraść zasoby
– dodano.
Rozszerzenie nie było jeszcze recenzowane, a jego otoczka wizualna wskazuje na brak profesjonalizmu. Do tego dochodzi brak oficjalnej strony internetowej. Od początku całość nie sprawia więc wrażenia czegoś godnego zaufania.
Śledź CrypS. w Google News. Czytaj najważniejsze wiadomości bezpośrednio w Google! Obserwuj ->
Zajrzyj na nasz telegram i dołącz do Crypto. Society. Dołącz ->
