Μια παραπλανητική επέκταση του Chrome με το όνομα Safery: Ethereum Wallet έχει εμφανιστεί ως σοβαρή απειλή για τους χρήστες κρυπτονομισμάτων.
Δημοσιεύτηκε στο Chrome Web Store στις 12 Νοεμβρίου 2024, αυτή η επέκταση μεταμφιέζεται ως ένα ασφαλές πορτοφόλι Ethereum ενώ κλέβει κρυφά φράσεις αρχικής σελίδας χρήστη.
Ο εξελιγμένος σχεδιασμός του κακόβουλου λογισμικού επιτρέπει στους εισβολείς να αποκτήσουν τον πλήρη έλεγχο των πορτοφολιών κρυπτονομισμάτων των θυμάτων και να εξαντλήσουν τα ψηφιακά τους στοιχεία.
Η επέκταση λειτουργεί με μια πονηρή προσέγγιση στην κλοπή. Όταν οι χρήστες δημιουργούν ή εισάγουν ένα πορτοφόλι, η επέκταση εξάγει τη βασική τους φράση και την κωδικοποιεί σε συνθετικές διευθύνσεις blockchain Sui.
Στη συνέχεια, εκπέμπει μικροσυναλλαγές 0,000001 SUI σε αυτές τις κωδικοποιημένες διευθύνσεις από ένα πορτοφόλι που ελέγχεται από τον παράγοντα απειλής. Για τους παρατηρητές, αυτά εμφανίζονται ως κανονική δραστηριότητα blockchain, αλλά στην πραγματικότητα περιέχουν κρυφά δεδομένα χρήστη.
Αναλυτές ασφαλείας Socket.dev αναγνωρισθείς την κακόβουλη επέκταση και ανακάλυψε τις τακτικές αποφυγής της.
Οι ερευνητές παρατήρησαν ότι η κερκόπορτα χρησιμοποιεί μνημονική κωδικοποίηση BIP-39, μετατρέποντας κάθε λέξη φράσης σε αριθμητικά δείκτες και συσκευάζοντας τις σε δεκαεξαδικές συμβολοσειρές που μοιάζουν με νόμιμες διευθύνσεις πορτοφολιού Sui.
.webp.jpeg)
Αυτή η έξυπνη προσέγγιση κρύβει δεδομένα στις συναλλαγές blockchain, εξαλείφοντας την ανάγκη για παραδοσιακούς διακομιστές εντολών και ελέγχου.
Τεχνικός Μηχανισμός
Ο τεχνικός μηχανισμός αποκαλύπτει την πολυπλοκότητα της επέκτασης. Κατά την εξέταση του κώδικα επέκτασης, οι αναλυτές βρήκαν ότι φορτώνει μια τυπική λίστα λέξεων, αντιστοιχίζει κάθε λέξη στο ευρετήριό της και δημιουργεί συνθετικές διευθύνσεις με πρόθεμα “0x”.
Ένας ζευγαρωμένος αποκωδικοποιητής που είναι ενσωματωμένος στο κακόβουλο λογισμικό επιτρέπει στον παράγοντα απειλής να αντιστρέψει αυτή τη διαδικασία, ανακατασκευάζοντας λέξη προς λέξη την αρχική φράση αρχική.
Ο κώδικας εκτελεί σιωπηλά αυτές τις λειτουργίες αφού ο χρήστης εισαγάγει τη φράση αρχικής του, στέλνοντας δεδομένα διήθησης σε όλη την αλυσίδα μπλοκ πριν ολοκληρώσει τη διαδικασία σύνδεσης.
Η απειλή αποδεικνύεται ιδιαίτερα επικίνδυνη επειδή η επέκταση φαίνεται νόμιμη στο Chrome Web Store. Οι χρήστες που αναζητούν πορτοφόλια Ethereum το βρίσκουν στη λίστα ως το τέταρτο αποτέλεσμα μαζί με αξιόπιστες εναλλακτικές λύσεις όπως το MetaMask και το Enkrypt, προσδίδοντάς του ψευδή αξιοπιστία.
Μόλις ένα θύμα εγκαταστήσει την επέκταση και εισάγει το πορτοφόλι του, ο εισβολέας αποκτά πρόσβαση σε όλα τα προερχόμενα ιδιωτικά κλειδιά Ethereum και μπορεί να μεταφέρει όλα τα περιουσιακά στοιχεία στις δικές του διευθύνσεις, με αποτέλεσμα τον πλήρη οικονομικό συμβιβασμό.
