警惕！恶意以太坊钱包扩展通过Sui微交易窃取种子短语

区块链安全平台Socket于2025年11月13日发布报告，揭露名为“Safery: Ethereum Wallet”的恶意Chrome扩展通过独特攻击手法窃取用户种子短语。该扩展在Chrome Web Store“以太坊钱包”搜索中排名第四，通过将BIP-39助记词编码至Sui区块链地址并发送0.000001 SUI微交易完成数据外泄。截至报告发布，该扩展自9月29日上传后仍可下载，零用户评论、语法错误品牌信息和Gmail开发者账户等特征应引起用户高度警觉。

恶意扩展传播途径与伪装策略

“Safery: Ethereum Wallet”恶意扩展自2025年9月29日上传至Chrome Web Store后，通过搜索引擎优化策略迅速攀升至“以太坊钱包”关键词搜索结果第四位，仅次于MetaMask、Wombat和Enkrypt等合法钱包。攻击者精心设计了扩展图标和描述，使用与正版钱包相似的蓝色调界面和“安全可靠”等宣传用语，但品牌名称中的“Safery”拼写错误（正确应为Safety）成为首个识别标志。

扩展页面信息显示，开发者联系邮箱为Gmail免费账户，而非专业企业域名；扩展描述中存在多处语法错误；最重要的是，该扩展在长达45天的在线期间未能获得任何用户评价——这些特征组合构成了典型的恶意软件红色警报。根据Google官方政策，Chrome Web Store应对扩展进行自动安全扫描，但显然这种新型攻击手法成功绕过了检测机制。截至11月13日，Google尚未将该扩展下架，最新更新记录显示攻击者在11月12日仍在对代码进行优化。

数据窃取机制的技术原理剖析

与传统恶意软件使用命令控制服务器传输数据不同，该扩展采用了极其隐蔽的区块链数据渗漏技术。当用户创建新钱包或导入现有钱包时，扩展会捕获完整的BIP-39种子短语，然后通过特定算法将12或24个单词的助记词编码为看似正常的Sui区块链地址。编码完成后，扩展会从攻击者控制的钱包向这些伪造地址发送0.000001 SUI（约合0.000001美元）的微交易。

Socket安全研究员Kirill Boychenko解释道，这种技术本质上将公共区块链变成了数据传输层。攻击者只需监控Sui链上交易，即可从接收方地址反解码出原始种子短语。由于交易金额极小且混在正常流量中，普通用户几乎无法察觉。更危险的是，这种攻击不依赖传统网络监控工具，因为数据外泄是通过合法的区块链RPC调用完成，防火墙和杀毒软件通常不会标记这些行为。

恶意扩展攻击特征汇总

扩展名称：Safery: Ethereum Wallet

上传时间：2025年9月29日

最后更新：2025年11月12日

Chrome Store排名：第四位（搜索“以太坊钱包”）

攻击手法：种子短语编码至Sui地址

交易金额：0.000001 SUI

窃取目标：BIP-39助记词

识别特征：零评论、语法错误、Gmail开发者账户

当前状态：仍可下载（截至11月13日）

用户识别与防范措施指南

对于普通用户，识别此类恶意扩展需遵循几个关键原则。首先，只安装来自官方渠道且具有大量真实评价的扩展——MetaMask拥有超过1000万用户和4.8星评级，而恶意扩展通常评价数量稀少。其次，仔细检查开发者信息，正规项目会使用企业邮箱和专业网站，而非免费邮箱。第三，注意品牌一致性，拼写错误和拙劣设计往往是危险信号。

在操作层面，安全专家建议采取多层防护策略。安装新扩展前，使用VirusTotal等工具扫描扩展ID；定期检查已安装扩展的权限变化；使用硬件钱包存储大额资产，避免在浏览器扩展中保存私钥。对于疑似感染的用户，应立即将资产转移至新创建的安全钱包，并全面扫描系统。Koi Security补充建议，用户应监控所有区块链交易，尤其是金额异常的出账，这可能表示攻击者正在测试访问权限。

安全行业应对与检测技术演进

面对这种新型攻击，安全厂商正在开发针对性检测方案。传统依赖域名、URL或扩展ID的检测方法已不足以应对，因为攻击者完全使用合法区块链基础设施。Socket提出的新方案包括监测浏览器中意外的区块链RPC调用、识别助记词编码模式、以及检测合成地址生成行为。特别是对于钱包创建或导入过程中发起的出账交易，无论金额多小都应视为高风险行为。

从技术角度看，防御此类攻击需要浏览器厂商、安全公司和区块链项目的协同努力。Chrome Web Store需要加强扩展代码的静态和动态分析，特别是对区块链API调用的审查。安全软件应更新特征库，将未经授权的种子短语外传行为标记为恶意。区块链项目也可考虑在节点层面检测异常交易模式，尽管这可能与去中心化理念存在一定冲突。

区块链安全威胁演进历程

从2017年钓鱼网站盗取私钥，到2021年木马程序替换剪贴板地址，再到如今的微交易数据渗漏，区块链安全威胁不断升级进化。这种通过合法区块链网络外泄数据的手法代表了新趋势——攻击者正在利用区块链的不可篡改性和匿名性作为攻击工具。与传统攻击相比，这种方法无需维护C&C服务器，难以追溯攻击者身份，且数据传输过程完全“合法”。

历史数据显示，钱包安全事件导致的资产损失每年超过10亿美元，其中浏览器扩展相关事件占比从2023年的15%上升至2025年的30%。这种增长反映了攻击者策略的转变——随着硬件钱包普及，直接攻击冷钱包难度增加，于是转向防护相对薄弱的热钱包扩展。值得注意的是，近期多个恶意扩展都模仿了MetaMask的UI设计，但细微差别仍可辨识。

个人数字资产安全最佳实践

为确保数字资产安全，用户应建立系统化的安全习惯。首先，采用分级存储策略：日常小额交易使用手机轻钱包，中等金额使用浏览器扩展配合硬件签名，大额资产使用多重签名冷钱包。其次，实施操作隔离：创建专用设备进行钱包相关操作，不与日常网页浏览混用。第三，定期进行安全审计：检查授权记录、交易历史和扩展权限。

对于企业用户，建议部署专门的安全监控系统，跟踪员工安装的浏览器扩展，并设置区块链交易预警机制。大额转账应要求多人授权，且接收地址需经过验证流程。此外，定期对员工进行社会工程学攻击培训，提高对钓鱼邮件和虚假网站的识别能力。在技术层面，考虑使用智能合约钱包，通过每日限额和可信联系人机制降低单点故障风险。

行业协作与监管响应需求

解决此类安全威胁需要全行业协作。浏览器厂商应建立更严格的扩展审核流程，对访问区块链API的扩展实施特殊审查。安全公司需要共享威胁情报，建立恶意扩展特征库。区块链项目可以考虑在协议层面添加交易标记功能，允许用户将可疑地址列入黑名单。

从监管角度看，各国可能加强对加密钱包应用的监管要求，包括强制代码审计、开发者身份验证和保险保障。欧盟MiCA法规已对钱包提供商提出基本要求，但执行细节仍需完善。长期来看，行业需要建立类似传统金融的欺诈检测和资金追回机制，尽管这与加密资产的去中心化特性存在天然张力。

安全展望

当攻击者开始利用区块链本身作为攻击媒介，当微交易成为数据渗漏渠道，我们面临的不仅是技术挑战，更是理念革新。这种新型攻击手法的可怕之处不在于其复杂性，而在于它颠覆了“区块链交易即安全”的认知。在加密世界迈向主流的道路上，安全始终是最薄弱的环节——今天的“Safery”事件提醒我们，在信任代码的同时，我们更需要建立系统化的验证机制。毕竟，在数字资产世界，安全不是功能，而是根基。