Будьте осторожны! Злоумышленное расширение Кошелька Ethereum крадет семенные фразы через микротранзакции Sui.

Платформа безопасности Блокчейн Socket опубликовала отчет 13 ноября 2025 года, в котором раскрывается, что злонамеренное расширение Chrome под названием “Safery: Ethereum Wallet” крадет семенные фразы пользователей с помощью уникальных методов атаки. Это расширение занимает четвертое место в поиске “Ethereum Wallet” в Chrome Web Store, кодируя мнемоническую фразу BIP-39 в адрес Блокчейн SUI и отправляя микротранзакцию в 0.000001 SUI для утечки данных. На момент публикации отчета это расширение по-прежнему доступно для загрузки с 29 сентября, ноль пользовательских отзывов, грамматические ошибки в брендовой информации и учетная запись разработчика Gmail должны вызывать у пользователей повышенную настороженность.

Пути распространения злонамеренных расширений и стратегии маскировки

“Safery: Ethereum Wallet” злонамеренное расширение, загруженное в Chrome Web Store 29 сентября 2025 года, быстро поднялось на четвертое место в результатах поиска по ключевому слову “Ethereum Wallet” благодаря стратегии поисковой оптимизации, уступая только таким легитимным кошелькам, как MetaMask, Wombat и Enkrypt. Злоумышленники тщательно разработали иконку расширения и его описание, использовали интерфейс с синими оттенками, похожий на оригинальные кошельки, и такие рекламные фразы, как “безопасно и надежно”, но ошибка в написании названия бренда “Safery” (правильное написание должно быть Safety) стала первым признаком распознавания.

Расширенная информация о странице показывает, что контактный адрес электронной почты разработчика является бесплатным аккаунтом Gmail, а не профессиональным корпоративным доменом; в описании расширения присутствует множество грамматических ошибок; что наиболее важно, это расширение не получило никаких пользовательских оценок за 45 дней онлайн-пребывания — эти особенности в совокупности создают типичный красный флаг вредоносного ПО. Согласно официальной политике Google, Chrome Web Store должен автоматически проводить безопасность сканирования расширений, но, очевидно, этот новый метод атаки успешно обошел механизмы обнаружения. По состоянию на 13 ноября Google еще не удалил это расширение, а последние записи обновлений показывают, что злоумышленники все еще оптимизируют код 12 ноября.

Анализ технических принципов механизма кражи данных

В отличие от традиционного вредоносного ПО, которое использует серверы командного управления для передачи данных, это расширение использует крайне скрытую технологию утечки данных блокчейна. Когда пользователь создает новый кошелек или импортирует существующий кошелек, расширение захватывает полный BIP-39 seed-фразу, а затем с помощью определенного алгоритма кодирует 12 или 24 слова мнемонической фразы в казалось бы нормальный адрес блокчейна SUI. После завершения кодирования расширение отправляет 0.000001 SUI (примерно 0.000001 долларов) микротранзакцию с кошелька, контролируемого злоумышленником, на эти поддельные адреса.

Исследователь безопасности Socket Кирилл Бойченко объяснил, что эта технология по сути превращает публичный блокчейн в слой передачи данных. Злоумышленник может просто отслеживать транзакции в цепочке Sui, чтобы декодировать исходную мнемоническую фразу из адреса получателя. Поскольку сумма транзакций крайне мала и смешивается с обычным трафиком, обычные пользователи почти не могут этого заметить. Более опасно то, что такая атака не зависит от традиционных инструментов сетевого мониторинга, поскольку утечка данных осуществляется через легитимные вызовы RPC блокчейна, и файрволы и антивирусное ПО обычно не маркируют такие действия.

Сводка характеристик злонамеренной атаки расширения

Расширенное название: Safery: Кошелек Ethereum

Дата загрузки: 29 сентября 2025 года

Последнее обновление: 12 ноября 2025 года

Рейтинг в магазине Chrome: четвертое место (поиск “Ethereum кошелек”)

Метод атаки: кодирование семенной фразы в адрес Sui

Сумма сделки: 0.000001 SUI

Цель кражи: мнемоническая фраза BIP-39

Определяющие характеристики: ноль комментариев, грамматические ошибки, учетная запись разработчика Gmail

Текущая статус: все еще доступно для загрузки (по состоянию на 13 ноября)

Руководство по идентификации пользователей и мерам предосторожности

Для обычных пользователей распознавание таких вредоносных расширений должно основываться на нескольких ключевых принципах. Во-первых, устанавливайте только расширения из официальных источников с большим количеством реальных отзывов — у MetaMask более 10 миллионов пользователей и рейтинг 4.8, тогда как у вредоносных расширений обычно мало отзывов. Во-вторых, внимательно проверяйте информацию о разработчике, легальные проекты используют корпоративные электронные почты и профессиональные сайты, а не бесплатные почтовые службы. В-третьих, обращайте внимание на согласованность бренда, орфографические ошибки и плохой дизайн часто являются опасными сигналами.

На операционном уровне эксперты по безопасности рекомендуют применять многоуровневую стратегию защиты. Перед установкой новых расширений используйте инструменты, такие как VirusTotal, для сканирования идентификатора расширения; регулярно проверяйте изменения прав установленных расширений; используйте аппаратный кошелек для хранения крупных активов, избегая сохранения приватных ключей в расширении браузера. Для пользователей, подозреваемых в заражении, следует немедленно перевести активы на вновь созданный безопасный кошелек и полностью просканировать систему. Koi Security дополнительно рекомендует пользователям следить за всеми транзакциями в блокчейне, особенно за необычными выводами средств, так как это может указывать на то, что злоумышленники тестируют доступ.

Эволюция технологий реагирования и обнаружения в сфере безопасности

В ответ на эту новую форму атаки, компании по безопасности разрабатывают целевые решения для обнаружения. Традиционные методы обнаружения, основанные на доменных именах, URL или расширенных идентификаторах, уже недостаточны, поскольку злоумышленники полностью используют легитимную инфраструктуру блокчейна. Новое решение, предложенное Socket, включает в себя мониторинг неожиданного вызова RPC блокчейна в браузере, идентификацию паттернов кодирования мнемонических фраз и обнаружение поведения по генерации синтетических адресов. Особенно для транзакций по выводу, инициированным в процессе создания или импорта кошелька, независимо от суммы, они должны рассматриваться как высокорискованные действия.

С технической точки зрения, защита от таких атак требует совместных усилий производителей браузеров, компаний по обеспечению безопасности и проектов Блокчейн. Магазину Chrome необходимо усилить статический и динамический анализ кода расширений, особенно проверку вызовов API Блокчейн. Безопасное программное обеспечение должно обновить базы данных признаков, пометив передачи несанкционированных мнемонических фраз как злонамеренные. Проекты Блокчейн также могут рассмотреть возможность обнаружения аномальных торговых паттернов на уровне узлов, хотя это может противоречить концепции децентрализации.

Эволюция угроз безопасности Блокчейн

С 2017 года фишинговые сайты крадут приватные ключи, в 2021 году вредоносные программы заменяют адреса в буфере обмена, а сегодня утечки данных микротранзакций продолжают эволюционировать угрозы безопасности Блокчейна. Этот метод утечки данных через легитимную сеть Блокчейн представляет собой новую тенденцию — злоумышленники используют неизменяемость и анонимность Блокчейна в качестве инструмента атаки. В отличие от традиционных атак, этот метод не требует поддержки C&C серверов, трудно отследить личность злоумышленника, и процесс передачи данных полностью “законный”.

Исторические данные показывают, что убытки активов из-за инцидентов с безопасностью кошельков превышают 1 миллиард долларов в год, при этом доля инцидентов, связанных с расширениями браузеров, увеличилась с 15% в 2023 году до 30% в 2025 году. Этот рост отражает изменение стратегии атакующих — с распространением аппаратных кошельков стало сложнее атаковать холодные кошельки напрямую, поэтому они переключились на относительно слабозащищенные горячие кошельки. Стоит отметить, что в последнее время несколько вредоносных расширений имитировали дизайн интерфейса MetaMask, но тонкие отличия все еще можно распознать.

Лучшие практики безопасности личных цифровых активов

Чтобы обеспечить безопасность цифровых активов, пользователям следует выработать систематические привычки безопасности. Во-первых, используйте стратегию многоуровневого хранения: для повседневных мелких транзакций используйте мобильный легкий кошелек, для средних сумм используйте расширение браузера в сочетании с аппаратной подписью, для крупных активов используйте холодный кошелек с мультиподписью. Во-вторых, реализуйте изоляцию операций: создайте специализированное устройство для операций, связанных с кошельком, не смешивая его с повседневным веб-серфингом. В-третьих, регулярно проводите аудит безопасности: проверяйте записи авторизации, историю транзакций и расширенные права.

Для корпоративных пользователей рекомендуется развернуть специализированную систему мониторинга безопасности, отслеживающую установленные сотрудниками расширения браузера, и установить механизм предупреждения о транзакциях в блокчейне. Для крупных переводов следует требовать множественное одобрение, и адрес получателя должен пройти процесс проверки. Кроме того, регулярно проводите обучение сотрудников по социальным атакам для повышения их способности к распознаванию фишинговых писем и поддельных сайтов. На техническом уровне рассмотрите возможность использования кошельков на основе смарт-контрактов, чтобы снизить риск единой точки отказа с помощью ежедневных лимитов и механизма доверенных контактов.

Требования к сотрудничеству в отрасли и реагированию на регулирование

Для решения подобных угроз безопасности необходимо сотрудничество всей отрасли. Производители браузеров должны установить более строгий процесс проверки расширений и проводить специальную проверку для расширений, которые получают доступ к API Блокчейн. Компании по безопасности должны обмениваться разведывательной информацией об угрозах и создавать базу данных характеристик вредоносных расширений. Блокчейн проекты могут рассмотреть возможность добавления функции маркировки транзакций на уровне протокола, позволяющей пользователям вносить подозрительные Адреса в черный список.

С точки зрения регулирования, страны могут усилить требования к регулированию приложений для криптокошельков, включая обязательный аудит кода, проверку личности разработчиков и страхование. Регламент MiCA Европейского Союза уже выдвинул основные требования к провайдерам кошельков, но детали выполнения еще требуют доработки. В долгосрочной перспективе отрасли необходимо создать механизмы обнаружения мошенничества и возврата средств, аналогичные традиционным финансам, хотя это находится в естественном конфликте с децентрализованной природой криптоактивов.

Обзор безопасности

Когда злоумышленники начинают использовать Блокчейн как средство для атак, а микротранзакции становятся каналами утечки данных, мы сталкиваемся не только с техническими вызовами, но и с необходимостью революции в мышлении. Ужас новой методики атаки не в ее сложности, а в том, что она разрушает представление о том, что «Блокчейн-транзакции безопасны». На пути к мейнстриму в криптомире безопасность остается самым слабым звеном — сегодняшний инцидент с «Safery» напоминает нам, что, доверяя коду, мы должны также создать систематический механизм верификации. В конце концов, в мире цифровых активов безопасность — это не функция, а основа.