В компания Socket раскрыла изощрённую атаку через расширение для браузера Chrome под названием Safery: Ethereum Wallet. Оно маскируется под легитимный эфириум-кошелёк и даже занимает четвёртое место в поисковой выдаче Chrome по запросу «Ethereum Wallet» — сразу после MetaMask и других доверенных приложений. Однако на самом деле расширение крадёт сид-фразы пользователей, предоставляя злоумышленникам полный доступ к их кошелькам в экосистеме Ethereum.
Как выяснили эксперты, при создании или импорте кошелька Safery декодирует 12–24-словную мнемоническую фразу и преобразует её в hex-адреса сети Sui. Затем расширение отправляет на эти адреса микротранзакции по 0,000001 SUI, создавая иллюзию обычной сетевой активности. На деле же каждый такой адрес — это зашифрованный фрагмент сид-фразы.
«Для наблюдателя это выглядит как случайные микроплатежи, — пояснили в Socket. — Но злоумышленник, имея тот же алгоритм декодирования, что и встроенный в расширение, может по этим транзакциям восстановить сид-фразу слово за словом и получить полный контроль над кошельком жертвы».
Особая опасность схемы — в её скрытности: данные передаются не через внешние серверы, а исключительно через публичный блокчейн-трафик, что позволяет обходить традиционные системы защиты, основанные на мониторинге доменов, URL или идентификаторов расширений.
