Trang Chủ
Baby Dragron
Một tiện ích mở rộng độc hại “Safery: Ethereum Wallet” hiện đang hoạt động trên Cửa hàng Chrome trực tuyến, sử dụng một cửa hậu tinh vi để lấy cắp cụm từ hạt giống. Đây là cách nó hoạt động.
Tin tức
Nền tảng bảo mật blockchain Socket đã cảnh báo về một tiện ích mở rộng ví tiền điện tử độc hại mới trên Cửa hàng Chrome trực tuyến (Chrome Web Store) của Google. Tiện ích này có một cách thức độc đáo để đánh cắp các cụm từ hạt giống (seed phrases). Nó được thiết kế nhằm mục đích làm cạn kiệt tài sản của người dùng.
Tiện ích mở rộng này có tên là “Safery: Ethereum Wallet”. Nó tự nhận là một “tiện ích mở rộng trình duyệt đáng tin cậy và an toàn được thiết kế để quản lý tài sản dựa trên Ethereum một cách dễ dàng và hiệu quả.” Tuy nhiên, như được nêu bật trong một báo cáo hôm thứ Ba từ Socket, tiện ích mở rộng này thực sự được thiết kế để đánh cắp cụm từ hạt giống thông qua một cửa hậu (backdoor) tinh vi.
Báo cáo viết: “Được quảng cáo là một ví Ethereum (ETH) đơn giản, an toàn, nó chứa một cửa hậu lấy cắp các cụm từ hạt giống.” Báo cáo giải thích thêm rằng nó thực hiện điều này “bằng cách mã hóa chúng thành các địa chỉ Sui và phát các giao dịch siêu nhỏ từ một ví Sui do kẻ đe dọa kiểm soát.”
Đáng chú ý, nó hiện đứng ở vị trí tìm kiếm thứ tư cho từ khóa “Ethereum Wallet” trên cửa hàng Google Chrome. Nó chỉ đứng sau một vài vị trí so với các ví hợp pháp như MetaMask, Wombat và Enkrypt. Vị trí cao này làm tăng đáng kể nguy cơ người dùng mới vô tình cài đặt nó.
Tiện ích mở rộng này cho phép người dùng tạo ví mới hoặc nhập ví hiện có từ nơi khác, tạo ra hai rủi ro bảo mật tiềm ẩn. Trong kịch bản đầu tiên, người dùng tạo một ví mới trong tiện ích mở rộng và ngay lập tức gửi cụm từ hạt giống của mình cho kẻ xấu thông qua một giao dịch dựa trên Sui rất nhỏ. Vì ví đã bị xâm phạm ngay từ ngày đầu tiên, tiền có thể bị đánh cắp bất cứ lúc nào.
Trong kịch bản thứ hai, người dùng nhập một ví hiện có và nhập cụm từ hạt giống của họ. Hành động này trao nó cho những kẻ lừa đảo đằng sau tiện ích mở rộng. Những kẻ này lại có thể xem thông tin thông qua giao dịch nhỏ đó.
Socket giải thích: “Khi người dùng tạo hoặc nhập ví, Safery: Ethereum Wallet sẽ mã hóa cụm từ ghi nhớ BIP-39 thành các địa chỉ kiểu Sui tổng hợp.” “Sau đó, nó gửi 0,000001 SUI cho những người nhận đó bằng cách sử dụng cụm từ ghi nhớ của kẻ đe dọa được mã hóa cứng.”
“Bằng cách giải mã những người nhận, kẻ đe dọa sẽ tái tạo lại cụm từ hạt giống ban đầu và có thể rút cạn tài sản bị ảnh hưởng. Cụm từ ghi nhớ rời khỏi trình duyệt được che giấu bên trong các giao dịch blockchain trông bình thường.”
Cách người dùng tiền điện tử có thể tránh các tiện ích mở rộng lừa đảo
Mặc dù tiện ích mở rộng độc hại này xuất hiện ở vị trí cao trong kết quả tìm kiếm, có một số dấu hiệu rõ ràng cho thấy nó thiếu tính hợp pháp. Tiện ích này không có đánh giá nào, thương hiệu rất hạn chế, có lỗi ngữ pháp trong một số quảng cáo. Nó cũng không có trang web chính thức và liên kết đến một nhà phát triển sử dụng tài khoản Gmail.
Điều quan trọng là mọi người phải nghiên cứu kỹ lưỡng trước khi họ xử lý bất kỳ nền tảng và công cụ blockchain nào. Người dùng phải hết sức cẩn thận với các cụm từ hạt giống và có các biện pháp an ninh mạng vững chắc. Họ cũng nên nghiên cứu các giải pháp thay thế đã được thiết lập tốt với tính hợp pháp đã được xác minh.
Vì tiện ích mở rộng này cũng gửi các giao dịch siêu nhỏ, điều cần thiết là phải liên tục theo dõi và xác định các giao dịch ví. Ngay cả các giao dịch nhỏ cũng có thể gây hại cho nhà đầu tư.
