افزونهای که ادعای مدیریت امن اتریوم دارد، با پنهانسازی عبارات بازیابی داخل تراکنشهای بلاکچین Sui، راه را برای خالیکردن کیفپول قربانیان هموار میکند.
به گزارش افتانا، محققان امنیت سایبری افزونه مخربی برای مرورگر کروم را شناسایی کردهاند که خود را بهعنوان یک کیف پول اتریوم قانونی معرفی میکند، اما در واقع برای سرقت عبارات بازیابی (Seed Phrase) کاربران طراحی شده است.
این افزونه با نام «Safery: Ethereum Wallet» در فروشگاه رسمی Chrome Web Store قرار گرفته و از سوی عامل تهدید بهعنوان یک کیفپول «ایمن و انعطافپذیر برای مدیریت رمزارز اتریوم» معرفی شده است. این افزونه در تاریخ ۲۹ سپتامبر ۲۰۲۵ بارگذاری و تا تاریخ ۱۲ نوامبر بهروزرسانی شده است؛ نکته نگرانکننده اینکه هنوز هم برای دانلود در دسترس است.
به گفته پژوهشگران شرکت امنیتی Socket، این افزونه در ظاهر ابزاری ساده و امن برای نگهداری اتریوم است، اما در پسزمینه یک درِ پشتی دارد که عبارت بازیابی کاربران را سرقت میکند. روش سرقت نیز بسیار هوشمندانه است: افزونه عبارات بازیابی را بهصورت رمزگذاریشده به شکل آدرسهای جعلی بلاکچین Sui در میآورد و سپس با ارسال تراکنشهای بسیار کوچک از یک کیفپول متعلق به مهاجم، آنها را روی زنجیره منتشر میکند.
به این ترتیب، مهاجم بدون نیاز به سرور فرمان و کنترل (C2)، میتواند دادههای سرقتشده را مستقیماً از روی بلاکچین بازیابی کند. او پس از رصد این تراکنشها و رمزگشایی آدرسها، قادر است عبارت بازیابی اصلی را بازسازی کرده و دارایی قربانی را تخلیه کند.
تحلیل شرکت Koi Security نیز تأیید میکند که این افزونه از طریق ارسال تراکنشهای ظاهراً عادی، عبارات بازیابی را در قالب آدرسهای جعلی بلاکچین پنهان کرده و به مهاجم اجازه میدهد تا با بررسی زنجیره، اطلاعات را رمزگشایی کرده و کیفپولهای قربانیان را خالی کند.
کارشناسان امنیت توصیه میکنند کاربران تنها از کیفپولهای معتبر و شناختهشده استفاده کنند و مدافعان نیز در بررسی افزونهها بهدنبال نشانههایی از رمزگذارهای عبارت بازیابی (mnemonic encoders)، مولدهای آدرس مصنوعی (synthetic address generators)، و عبارات بازیابی هاردکد شده باشند. همچنین باید نسبت به افزونههایی که هنگام ایجاد یا وارد کردن کیفپول تراکنشهایی روی زنجیره انجام میدهند، حساسیت ویژهای نشان داد.
طبق این گزارش، این روش به مهاجمان اجازه میدهد بهسادگی بین زنجیرهها و نقاط دسترسی (RPC) مختلف جابهجا شوند، بنابراین شناساییهایی که فقط بر اساس دامنه، URL یا شناسه افزونه انجام میشود، ناکافی است. هرگونه فراخوانی غیرمنتظره به بلاکچین از داخل مرورگر، بهویژه زمانی که افزونه ادعای فعالیت در یک زنجیره خاص را دارد، باید بهعنوان نشانهای قوی از رفتار مخرب در نظر گرفته شود.
