Chrome mağazasındaki sahte Ethereum cüzdanı tohum ifadelerini çalıyor

Blockchain güvenlik platformu Socket, kullanıcı varlıklarını boşaltmak için tohum ifadelerini çalan yeni bir kötü niyetli kripto cüzdan uzantısı konusunda uyarıda bulundu.

Bu uzantının adı “Safery: Ethereum Wallet” ve kendisini Ethereum tabanlı varlıkların kolay ve verimli bir şekilde yönetimi için tasarlanmış “güvenilir ve güvenli bir tarayıcı uzantısı” olarak tanıtıyor.

Ancak Socket’in salı günkü raporunda vurgulandığı gibi, uzantı aslında tohum ifadelerini hileli bir arka kapı aracılığıyla çalmak için tasarlandı.

“Basit ve güvenli bir Ethereum (ETH) cüzdanı olarak pazarlanan bu uzantı, tohum ifadeleri Sui adreslerine kodlayarak ve tehdit aktörü kontrolündeki bir Sui cüzdanından mikro işlemler yayınlayarak dışarı aktaran bir arka kapı içeriyor,” ifadeleri raporda yer aldı. 

Dikkat çekici bir şekilde, şu anda Google Chrome mağazasında “Ethereum Wallet” araması yapıldığında dördüncü sırada yer alıyor. MetaMask, Wombat ve Enkrypt gibi yasal cüzdanların hemen birkaç sıra altında bulunuyor.

Uzantı, kullanıcıların yeni cüzdanlar oluşturmasına veya mevcut cüzdanlarını başka yerlerden içe aktarmasına olanak tanıyor ve bu da kullanıcı için iki potansiyel güvenlik riski yaratıyor.

İlk senaryoda, kullanıcı uzantıda yeni bir cüzdan oluşturuyor ve tohum ifadelerini küçük bir Sui tabanlı işlem aracılığıyla kötü aktöre gönderiyor. Cüzdan ilk günden itibaren ele geçirildiği için fonlar herhangi bir zamanda çalınabiliyor.

İkinci senaryoda, kullanıcı mevcut bir cüzdanı içe aktarıyor ve tohum ifadesini giriyor, böylece bu bilgiyi uzantının arkasındaki dolandırıcılara teslim etmiş oluyor. Dolandırıcılar bu bilgiyi yine küçük işlem üzerinden görebiliyor.

“Bir kullanıcı cüzdan oluşturduğunda veya içe aktardığında, Safery: Ethereum Wallet BIP-39 mnemonic’i sentetik Sui tarzı adreslere kodluyor, ardından sabit kodlanmış tehdit aktörünün mnemonic’ini kullanarak bu alıcılara 0,000001 SUI gönderiyor,” diye açıkladı Socket ve ekledi:

“Alıcıları çözen tehdit aktörü, orijinal tohum ifadesini yeniden oluşturabiliyor ve etkilenen varlıkları boşaltabiliyor. Mnemonic, normal görünen blockchain işlemleri içinde gizlenmiş şekilde tarayıcıdan çıkıyor.”

Kripto kullanıcıları sahte uzantılardan nasıl kaçınabilir

Bu kötü niyetli uzantı arama sonuçlarında üst sıralarda görünse de, meşruiyetten yoksun olduğuna dair bazı açık işaretler bulunuyor.

Uzantının hiçbir yorumu yok, markalaşması çok sınırlı, bazı açıklamalarda dilbilgisi hataları mevcut, resmi bir web sitesi bulunmuyor ve geliştirici bir Gmail hesabı üzerinden bağlantı veriyor.

Kişilerin herhangi bir blockchain platformu veya aracıyla etkileşime girmeden önce kapsamlı araştırma yapmaları, tohum ifadeleri konusunda son derece dikkatli olmaları, güçlü siber güvenlik uygulamalarına sahip olmaları ve doğrulanmış güvenilir alternatifleri araştırmaları önemlidir.

Bu uzantının ayrıca mikro işlemler gönderdiği göz önünde bulundurulduğunda, cüzdan işlemlerini düzenli olarak izlemek ve tanımlamak da hayati önem taşır, çünkü küçük işlemler bile zararlı olabilir