假冒加密钱包在Chrome网上应用店排名第四的同时窃取用户资金

名为"Safery: Ethereum Wallet"的恶意扩展程序乍看之下似乎合法。当用户在Chrome商店搜索"Ethereum Wallet"时，它的排名仅次于MetaMask等受信任的钱包。然而，安全研究人员发现它包含隐藏代码，旨在窃取使用者的加密货币。

诈骗如何运作

这个假钱包使用复杂的方法窃取用户的助记词。当有人创建新钱包或导入现有钱包时，该扩展程序秘密地将其12或24个单词的助记词编码到虚假的Sui区块链地址中。

恶意代码随后向这些编码地址发送价值0.000001 SUI代币的微小交易。对外部观察者来说，这些看起来像正常的区块链活动。但攻击者可以解码这些交易以恢复受害者的完整助记词，并获得对其加密钱包的完全控制。

来源：socket.dev

Socket的安全团队发现了这个扩展程序并解释了它的工作原理。他们的报告指出："助记词隐藏在看似正常的区块链交易中离开浏览器。"这使得使用传统安全方法几乎不可能检测到盗窃行为。

用户错过的警告信号

几个红色警告标志本应警告用户远离这个假钱包。该扩展程序没有用户评论，其描述中包含语法错误。它也缺乏官方网站，仅列出一个Gmail地址作为开发者联系方式。

该扩展程序最初于2025年9月29日上传，最近一次更新是在2025年11月12日。尽管有这些明显的警告信号，这个假钱包仍然攀升至搜索排名第四位，可能使数千名用户面临被盗风险。

安全专家表示，这种高排名给恶意扩展程序提供了"对不知情用户的即时可见性和合法性外表"。这种定位大大增加了人们在发现其真实本质之前下载和使用假钱包的可能性。

对加密货币用户的日益增长的威胁

浏览器扩展程序诈骗在加密货币领域代表着一个日益严重的问题。行业数据显示，仅2024年与钱包相关的诈骗就耗费了超过5亿美元，根据行业报告，浏览器扩展程序正成为越来越受欢迎的攻击媒介。

这一发现的时机尤其令人担忧。AI驱动的加密工具正变得越来越受欢迎，2024年末AI代理代币增长了222%。随着更多人寻求便捷的方式管理他们的加密货币，他们变得更容易受到承诺简单解决方案的假工具的影响。

这个假钱包代表了加密货币盗窃的新水平。与可能是明显诈骗的简单钓鱼网站不同，这个扩展程序出现在Google的官方商店中，与合法选项并列。基于区块链的窃取助记词的方法也很创新，利用区块链网络的透明度对抗用户。

当前状态和响应

截至2025年11月14日，Safery扩展程序仍可在Chrome网上应用店下载。Socket向Google的安全团队报告了恶意扩展程序并要求删除发布者账户，但该扩展程序尚未被下架。

该扩展程序的持续可用性突显了应用商店安全审查的持续问题。虽然Google有政策防止恶意软件，但像这样的复杂诈骗可以通过审批过程并在数周或数月内保持可用。

安全研究人员警告说，这种技术可能会蔓延到其他区块链网络。该方法通过利用区块链交易的公共性质工作，这意味着类似的攻击可能针对Solana、Ethereum或其他加密货币网络的用户。

如何保持安全

用户可以通过遵循几个关键安全实践来保护自己。安装前始终研究任何加密钱包或扩展程序。寻找有数千个正面评论和经过验证的开发者的已建立工具。

像MetaMask这样的合法加密钱包会由专业公司进行定期安全审计。它们还维护官方网站，提供详细的文档和支持资源。假钱包通常缺乏这些功能。

切勿与任何人分享助记词，并对在正常操作期间要求您提供完整助记词的任何软件保持警惕。合法钱包仅在初始设置或恢复过程中需要助记词。

定期监控您的钱包交易是否有任何意外活动。即使是微小的交易也可能表明您的助记词已被泄露。使用区块链浏览器查看您地址的所有进出交易。

尽可能在加密交易所和钱包服务上启用双因素认证。虽然这不能防止助记词被盗，但它为在线账户增加了额外的安全层。

数字狂野西部继续

这一事件表明，加密货币仍然是诈骗者的丰富目标环境。尽管多年来对安全风险的警告，假钱包和恶意扩展程序继续欺骗用户并窃取数百万美元。

这种特殊诈骗的复杂性——使用区块链交易隐藏被盗数据——表明攻击者不断开发新方法以领先于安全措施。用户在管理其加密货币资产时必须保持警惕，并坚持使用经过良好建立和审计的工具。