假冒加密貨幣錢包在 Chrome Web Store 排名第四的同時竊取用戶資金

名為「Safery: Ethereum Wallet」的惡意擴充功能乍看之下似乎合法。當用戶在 Chrome 商店搜尋「Ethereum Wallet」時，它的排名僅次於像 MetaMask 這樣的受信任錢包。然而，安全研究人員已發現它包含隱藏程式碼，旨在竊取使用者的加密貨幣。

詐騙如何運作

這個假錢包使用複雜的方法來竊取用戶的助記詞。當有人創建新錢包或導入現有錢包時，該擴充功能會秘密地將其 12 或 24 個單詞的助記詞編碼到虛假的 Sui 區塊鏈地址中。

惡意程式碼隨後會向這些編碼地址發送價值 0.000001 SUI 代幣的微小交易。對外部觀察者來說，這些看起來像正常的區塊鏈活動。但攻擊者可以解碼這些交易以恢復受害者的完整助記詞，並獲得對其加密錢包的完全控制。

來源：socket.dev

Socket 的安全團隊發現了這個擴充功能並解釋了它的運作方式。他們的報告指出：「助記詞離開瀏覽器時被隱藏在看似正常的區塊鏈交易中。」這使得使用傳統安全方法幾乎不可能檢測到盜竊行為。

用戶錯過的警告信號

有幾個紅色警告標誌本應警告用戶遠離這個假錢包。該擴充功能沒有任何用戶評論，且其描述中包含語法錯誤。它也缺乏官方網站，並且僅列出一個 Gmail 地址作為開發者聯繫方式。

該擴充功能最初於 2025 年 9 月 29 日上傳，最近一次更新是在 2025 年 11 月 12 日。儘管有這些明顯的警告信號，這個假錢包仍設法爬升至搜尋排名第四位，可能使數千名用戶面臨被盜風險。

安全專家表示，這種高排名給予惡意擴充功能「對不知情用戶的即時可見性和合法性外表」。這種定位大大增加了人們在發現其真實本質之前下載並使用假錢包的可能性。

對加密貨幣用戶的威脅日益增長

瀏覽器擴充功能詐騙代表了加密貨幣領域中日益嚴重的問題。行業數據顯示，僅在 2024 年，與錢包相關的詐騙就耗費了超過 5 億美元，根據行業報告，瀏覽器擴充功能正成為越來越受歡迎的攻擊媒介。

這一發現的時機尤為令人擔憂。AI 驅動的加密工具正變得越來越受歡迎，2024 年末 AI 代理代幣增加了 222%。隨著更多人尋求管理加密貨幣的便捷方式，他們變得更容易受到承諾提供簡易解決方案的假工具的影響。

這個假錢包代表了加密貨幣盜竊的新水平。與可能明顯是詐騙的簡單釣魚網站不同，這個擴充功能出現在 Google 的官方商店中，與合法選項並列。基於區塊鏈的竊取助記詞方法也很創新，利用區塊鏈網絡的透明度對抗用戶。

當前狀態和回應

截至 2025 年 11 月 14 日，Safery 擴充功能仍可在 Chrome 網上商店下載。Socket 已向 Google 的安全團隊報告了這個惡意擴充功能，並要求移除發布者帳戶，但該擴充功能尚未被下架。

該擴充功能的持續可用性突顯了應用商店安全審查的持續問題。雖然 Google 有政策防止惡意軟件，但像這樣的複雜詐騙可以通過審批過程，並在數週或數月內保持可用。

安全研究人員警告說，這種技術可能會蔓延到其他區塊鏈網絡。該方法通過利用區塊鏈交易的公開性質運作，這意味著類似的攻擊可能會針對 Solana、Ethereum 或其他加密貨幣網絡的用戶。

如何保持安全

用戶可以通過遵循幾個關鍵安全實踐來保護自己。安裝前始終研究任何加密錢包或擴充功能。尋找具有數千個正面評論和經過驗證的開發者的已建立工具。

合法的加密錢包如 MetaMask 會定期接受專業公司的安全審計。它們還維護官方網站，提供詳細的文檔和支持資源。假錢包通常缺乏這些功能。

切勿與任何人分享助記詞，並對在正常操作期間要求您提供完整助記詞的任何軟件保持警惕。合法錢包僅在初始設置或恢復過程中需要助記詞。

定期監控您的錢包交易，查看是否有任何意外活動。即使是微小的交易也可能表明您的助記詞已被洩露。使用區塊鏈瀏覽器查看您地址的所有進出交易。

盡可能在加密交易所和錢包服務上啟用雙重認證。雖然這不能防止助記詞被盜，但它為在線帳戶增加了額外的安全層。

數位狂野西部繼續

這一事件表明，加密貨幣仍然是詐騙者的豐富目標環境。儘管多年來對安全風險的警告，假錢包和惡意擴充功能繼續欺騙用戶並竊取數百萬美元。

這種特殊詐騙的複雜性 - 使用區塊鏈交易隱藏被盜數據 - 表明攻擊者不斷開發新方法以領先於安全措施。用戶在管理其加密貨幣資產時必須保持警惕，並堅持使用經過良好建立和審計的工具。