Остерігайтеся! Зловмисне розширення гаманця Ethereum викрадає seed-фрази через мікротранзакції Sui

Блокчейн безпеки платформа Socket 13 листопада 2025 року опублікувала звіт, який викриває зловмисне розширення Chrome під назвою “Safery: Ethereum Wallet”, що краде семена фрази користувачів за допомогою унікальних методів атаки. Це розширення займає четверте місце в пошуку “Ethereum Wallet” в Chrome Web Store, кодує мнемонічну фразу BIP-39 до адреси блокчейну Sui та завершить витік даних, відправивши мікротранзакцію 0.000001 SUI. Станом на момент публікації звіту, це розширення все ще доступне для завантаження з 29 вересня, нуль коментарів користувачів, граматичні помилки в брендовій інформації та обліковий запис розробника Gmail - усе це повинно викликати високу обережність у користувачів.

Шляхи поширення зловмисного розширення та стратегії маскування

“Safery: Ethereum Wallet” зловмисне розширення, завантажене до Chrome Web Store 29 вересня 2025 року, швидко піднялося до четвертого місця у пошукових результатах за ключовим словом “Етер гаманець” завдяки стратегії пошукової оптимізації, поступаючись лише легітимним гаманцям, таким як MetaMask, Wombat та Enkrypt. Зловмисники ретельно розробили іконку розширення та опис, використовуючи інтерфейс у синіх тонах, схожий на оригінальний гаманець, та рекламні фрази, такі як “безпечно та надійно”, але помилка в написанні бренду “Safery” (правильний варіант - Safety) стала першим знаком розпізнавання.

Розширена інформація на сторінці показує, що електронна пошта для зв'язку з розробником є безкоштовним обліковим записом Gmail, а не професійним корпоративним доменом; в описі розширення є багато граматичних помилок; найголовніше, що це розширення за 45 днів онлайн не отримало жодної оцінки від користувачів — ці комбінації характеристик складають типовий червоний сигнал небезпеки для шкідливого програмного забезпечення. Згідно з офіційною політикою Google, Chrome Web Store має автоматично сканувати розширення на безпеку, але, очевидно, цей новий метод атаки успішно обійшов механізм виявлення. Станом на 13 листопада Google ще не зняв це розширення, а останні записи про оновлення показують, що атакуючий 12 листопада все ще оптимізував код.

Технічний аналіз механізму крадіжки даних

На відміну від традиційного шкідливого програмного забезпечення, яке використовує сервери командного управління для передачі даних, це розширення використовує надзвичайно приховану технологію витоку даних на основі Блокчейн. Коли користувач створює новий гаманець або імпортує існуючий, розширення захоплює повну BIP-39 мнемонічну фразу, а потім за допомогою певного алгоритму кодує 12 або 24 слова в вигляді адреси Сui, яка виглядає нормальною. Після завершення кодування розширення відправляє 0.000001 SUI (близько 0.000001 долара США) мікротранзакції на ці підроблені адреси з гаманця, контрольованого зловмисником.

Дослідник безпеки Socket Кирило Бойченко пояснив, що ця технологія по суті перетворює публічний Блокчейн на рівень передачі даних. Зловмиснику достатньо контролювати транзакції в мережі Sui, щоб з адреси отримувача декодувати початкову мнемонічну фразу. Оскільки суми транзакцій дуже малі і змішуються з нормальною активністю, звичайний користувач майже не може цього помітити. Ще небезпечніше те, що ця атака не залежить від традиційних інструментів моніторингу мережі, оскільки витік даних здійснюється через законні виклики RPC Блокчейну, а брандмауери і антивірусне програмне забезпечення зазвичай не помічають ці дії.

Зведення характеристик зловмисних атак розширення

Розширене ім'я: Safery: Гаманець Ethereum

Час завантаження: 29 вересня 2025 року

Останнє оновлення: 12 листопада 2025 року

Рейтинг Chrome Store: четверте місце (пошук “Ethereum Гаманець”)

Атака: кодування мнемонічної фрази до адреси SUI

Сума транзакції: 0.000001 SUI

Викрадення мети: BIP-39 мнемонічна фраза

Визначальні характеристики: нульові коментарі, граматичні помилки, обліковий запис розробника Gmail

Поточний стан: все ще доступно для завантаження (станом на 13 листопада)

Посібник з ідентифікації користувачів та заходів запобігання

Для звичайних користувачів розпізнавання таких шкідливих розширень потрібно дотримуватись кількох ключових принципів. По-перше, встановлюйте лише розширення з офіційних каналів, які мають велику кількість реальних відгуків — MetaMask має понад 10 мільйонів користувачів та рейтинг 4.8 зірок, тоді як шкідливі розширення зазвичай мають мало відгуків. По-друге, уважно перевіряйте інформацію про розробника, законні проекти використовують корпоративні електронні адреси та професійні вебсайти, а не безкоштовні електронні адреси. По-третє, звертайте увагу на узгодженість бренду, помилки в написанні та поганий дизайн часто є небезпечними сигналами.

На операційному рівні експерти з безпеки рекомендують вжити багатошарову стратегію захисту. Перед установкою нових розширень використовуйте інструменти, такі як VirusTotal, для сканування ID розширення; регулярно перевіряйте зміни прав доступу для встановлених розширень; використовуйте апаратний гаманець для зберігання великих активів, уникаючи зберігання приватних ключів у розширеннях браузера. Для користувачів, які підозрюють інфікування, слід терміново перевести активи на новостворений безпечний гаманець і повністю просканувати систему. Koi Security також рекомендує, щоб користувачі моніторили всі транзакції в Блокчейн, особливо аномальні виходи, що може вказувати на те, що зловмисники тестують свої права доступу.

Еволюція технологій реагування та виявлення в індустрії безпеки

Стикаючись з новими типами атак, постачальники безпеки розробляють цільові рішення для виявлення. Традиційні методи виявлення, що покладаються на доменні імена, URL або розширені ID, вже недостатні, оскільки зловмисники повністю використовують легітимну інфраструктуру блокчейну. Нова пропозиція Socket включає моніторинг несподіваних викликів RPC блокчейну в браузері, ідентифікацію патернів кодування мнемонічних фраз, а також виявлення поведінки генерації синтетичних адрес. Особливо для транзакцій виводу, що ініціюються під час створення або імпорту гаманця, незалежно від суми, слід вважати високим ризиком.

З технічної точки зору, захист від такого роду атак вимагає спільних зусиль виробників браузерів, компаній з безпеки та блокчейн-проектів. Chrome Web Store повинен посилити статичний та динамічний аналіз коду розширень, особливо перевірку викликів API блокчейну. Антивірусне програмне забезпечення повинно оновити бібліотеки характеристик, помічаючи поведінку з передачі несанкціонованих семенних фраз як шкідливу. Блокчейн-проекти також можуть розглянути можливість виявлення аномальних торгових патернів на рівні вузлів, хоча це може суперечити принципу децентралізації.

Еволюція загроз безпеці Блокчейн

Починаючи з 2017 року, коли фішингові сайти викрадали приватні ключі, до 2021 року, коли троянські програми замінювали адресу в буфері обміну, і до сьогоднішніх витоків даних мікротранзакцій, загрози безпеці блокчейну постійно еволюціонують. Цей метод витоку даних через легітимну блокчейн-мережу представляє нову тенденцію — зловмисники почали використовувати незмінність та анонімність блокчейну як інструменти для атак. На відміну від традиційних атак, цей метод не потребує підтримки серверів C&C, важко відстежити особу зловмисника, а процес передачі даних є абсолютно “легітимним”.

Історичні дані показують, що втрати активів через події безпеки гаманців щорічно перевищують 1 мільярд доларів, при цьому частка подій, пов'язаних з розширеннями браузера, зросла з 15% у 2023 році до 30% у 2025 році. Це зростання відображає зміну стратегій зловмисників — з поширенням апаратних гаманців стало складніше атакувати холодні гаманці, тому вони переходять до розширень гарячих гаманців, які мають відносно слабкий захист. Варто зазначити, що нещодавно кілька шкідливих розширень імітували дизайн інтерфейсу MetaMask, але тонкі відмінності все ще можна розпізнати.

Найкращі практики безпеки особистих цифрових активів

Щоб забезпечити безпеку цифрових активів, користувачі повинні встановити систематичні звички безпеки. По-перше, застосуйте стратегію зберігання в кількох рівнях: для щоденних малих транзакцій використовуйте мобільний легкий гаманець, для середніх сум використовуйте розширення браузера в поєднанні з апаратним підписом, а для великих активів використовуйте багатопідписний холодний гаманець. По-друге, впровадьте ізоляцію дій: створіть спеціалізовані пристрої для виконання операцій з гаманцем, не змішуючи їх із повсякденним веб-серфінгом. По-третє, регулярно проводьте аудит безпеки: перевіряйте записи авторизації, історію транзакцій і розширені дозволи.

Для корпоративних користувачів рекомендується розгорнути спеціалізовану систему безпеки для моніторингу, відстежуючи розширення браузера, встановлені співробітниками, та налаштувати механізм попередження про транзакції в Блокчейн. Для великих переказів слід вимагати багатостороннього дозволу, а адреса отримувача повинна пройти процес перевірки. Крім того, регулярно проводьте навчання для співробітників щодо соціальної інженерії, щоб підвищити їхню здатність розпізнавати фішингові електронні листи та фальшиві веб-сайти. На технічному рівні розгляньте можливість використання Гаманця на основі смарт-контрактів, щоб зменшити ризик одноточкових збоїв через щоденні обмеження та механізм надійних контактів.

Потреби в співпраці в галузі та реагуванні на регулювання

Вирішення таких загроз безпеці вимагає співпраці всієї галузі. Виробники браузерів повинні встановити більш суворий процес перевірки розширень, застосовувати спеціальні перевірки до розширень, які отримують доступ до API Блокчейн. Компанії з безпеки повинні ділитися інформацією про загрози, створювати бази даних характеристик шкідливих розширень. Проекти Блокчейн можуть розглянути можливість додавання функції маркування транзакцій на рівні протоколу, що дозволяє користувачам вносити підозрілі адреси до чорного списку.

З точки зору регулювання, країни можуть посилити вимоги до регулювання застосунків криптовалютних гаманців, включаючи обов'язковий аудит коду, перевірку особи розробників та страхове покриття. Регламент MiCA ЄС вже висунув основні вимоги до постачальників гаманців, але деталі виконання ще потребують вдосконалення. У довгостроковій перспективі галузі потрібно створити механізми виявлення шахрайства та повернення коштів, подібні до традиційних фінансів, хоча це є природним напруженням з децентралізованою природою криптоактивів.

Безпекова перспектива

Коли зловмисники починають використовувати Блокчейн як засіб атаки, і коли мікротранзакції стають каналами витоку даних, ми стикаємося не лише з технічними викликами, але й з необхідністю оновлення концепцій. Страхітливість цього нового методу атаки полягає не в його складності, а в тому, що він підриває уявлення про те, що “блокчейн-транзакції є безпечними”. На шляху до того, щоб криптовалюти стали мейнстрімом, безпека завжди залишається найслабшою ланкою — сьогоднішній інцидент “Safery” нагадує нам, що, довіряючи коду, ми також повинні створити систематичний механізм перевірки. Адже у світі цифрових активів безпека не є функцією, а основою.