Este artigo foi publicado pela primeira vez no Deythere.
- Disfarçada como uma Carteira Legítima, mas Maliciosa por Dentro
- O Ataque Furtivo: Sui Codifica a Frase-Semente
- Por Que Durou Tanto: Falhas na Verificação da Chrome Store
- Como os Usuários Foram Avisados e O Que Podem Fazer
- Um Aviso Para o Ecossistema Cripto
- Conclusão
- Glossário
- Perguntas Frequentes Sobre o Golpe da Carteira Chrome
- Como a extensão Safery passou despercebida?
- A extensão se passava por uma carteira popular?
- Se alguém usou o Safery, pode recuperar o dinheiro?
- Como saber se uma extensão de carteira é segura?
- Outras blockchains podem ser vulneráveis a ataques semelhantes?
- Referências
Uma extensão do Chrome aparentemente legítima chamada “Safery: Ethereum Wallet” foi flagrada roubando frases-semente dos usuários em segundo plano.
Em vez de servidores ou phishing clássico, a extensão armazenava as frases mnemônicas usando pequenas transações on-chain na Sui, codificadas de forma a fazer parecer que todos haviam sido roubados virtualmente sem perceber.
A insidiosidade desses smart contracts permitiu que os atacantes reconstruíssem as frases de recuperação das carteiras dos usuários e esvaziassem seus ativos. Este golpe em carteira Chrome expõe um novo vetor de ataque que abusa da própria blockchain para possibilitar a exfiltração de dados.
Disfarçada como uma Carteira Legítima, mas Maliciosa por Dentro
O app “Safery: Ethereum Wallet” parecia a carteira organizada, segura e confiável que os usuários gostariam de usar para guardar dinheiro.
Ela apareceu na Chrome Web Store como um dos principais resultados de busca por “Ethereum wallet”, ao lado de extensões populares como MetaMask, Wombat e Enkrypt.
A página do publicador era minimalista, a descrição enfatizava segurança e afirmava armazenar chaves localmente, dando a impressão de que os usuários lidavam com algo seguro.
A extensão ainda solicitava permissão para funcionar em todos os sites uma permissão comum para extensões de carteira — então não havia alarmes óbvios para usuários típicos.
O Ataque Furtivo: Sui Codifica a Frase-Semente
Após a instalação, o Safery não contatou nenhum servidor de comando e controle para transferir dados. Em vez disso, como descobriu a Threat Research Team da Socket, ele codificava a frase-semente a frase de recuperação de 12 ou 24 palavras usada para restaurar uma carteira na blockchain nativa em endereços sintetizados no estilo da blockchain Sui.
A extensão então enviava uma quantidade muito pequena de tokens SUI (como 0,000001 SUI) para esses endereços manipulados, a partir de carteiras pertencentes ao atacante.
Ao observar essas transações na blockchain Sui e decodificar os endereços de destino, os agentes maliciosos poderiam determinar a frase-semente completa do usuário.
O protocolo de engenharia reversa da Socket revelou que cada palavra na frase-semente era traduzida para seu índice em uma lista padrão BIP-39 e então convertida em uma string hexadecimal, preenchida e interpretada como um endereço falso da Sui.
Isso evitava chamadas de rede clássicas ou tráfego HTTP suspeito, pois a exfiltração “ocorria” na blockchain.
Por Que Durou Tanto: Falhas na Verificação da Chrome Store
Parte de como o Safery alcançou posições tão altas na Web Store tem a ver com o funcionamento do marketplace de extensões do Chrome.
O algoritmo da loja prioriza contagem de instalações, velocidade de avaliações e classificação média em vez de uma verificação profunda de segurança. Como Safery gerou avaliações falsas de 5 estrelas rapidamente, começou a ganhar tração.
Sua descrição era polida e suas permissões pareciam rotineiras, permitindo que passasse pelos controles de segurança mais rigorosos do Google.
Mesmo após pesquisadores alertarem sobre a ameaça, a remoção não foi imediata.
Segundo equipes de segurança, o fato de a atividade do Safery não incluir comportamento on-chain suspeito, mas sim presença on-chain sem ações externas estranhas, tornou mecanismos convencionais de detecção de malware menos eficazes.
Como os Usuários Foram Avisados e O Que Podem Fazer
A Socket e diversos veículos de cibersegurança levantaram bandeiras vermelhas assim que descobriram o padrão de comportamento do Safery.
Eles recomendam que usuários nunca insiram suas frases-semente em extensões desconhecidas ou não verificadas.
Sempre que instalarem uma extensão de carteira, os usuários devem checar a reputação do publicador, verificar se existe um site ou repositório GitHub real e analisar as avaliações para padrões de elogios genéricos.
Se alguém acreditar que usou o Safery ou qualquer outra extensão maliciosa similar, especialistas recomendam desinstalar a extensão imediatamente, revogar todas as permissões (ERC-20 ou outras) e transferir os fundos para uma nova carteira em um dispositivo seguro.
Essas etapas limitam os danos, mas qualquer carteira tocada pelo Safery está comprometida.
Um Aviso Para o Ecossistema Cripto
Essa vulnerabilidade que levou ao golpe da carteira Chrome vai mais fundo. As carteiras de navegador em si são fundamentalmente inseguras. Embora ofereçam facilidade de uso e acesso a DApps, expõem grandes superfícies de ataque.
Misturar aparência legítima da UI com exfiltração on-chain furtiva permitiu que a extensão Safery evitasse mecanismos convencionais de segurança anti-malware. Pesquisadores de segurança estão exigindo correções.
Sugestões incluem sinalização automática de extensões que solicitam entrada de frase-semente, verificações melhores de permissões e formas de verificar publicadores, ou seja, garantir que a carteira realmente pertence a um projeto cujo código-fonte foi examinado segundo padrões.
Para os usuários, a lição é dura: nem toda carteira Chrome é segura, e confiança deve ser conquistada, não dada livremente.
Conclusão
O golpe da carteira Chrome Safery está entre os malwares cripto mais sofisticados. Ao inserir frases-semente em microtransações da blockchain Sui, os atacantes contornaram detecções convencionais e construíram um canal de exfiltração invisível.
O hacker da Chrome Store abusou da confiança na loja, se elevou por avaliações falsas e até utilizou a blockchain para vazar dados privados.
A lição para os usuários de carteira é óbvia: sempre examine extensões, monitore o tráfego da blockchain e trate a entrada de frases-semente com extrema cautela.
Glossário
Frase-semente (Mnemônica): Lista de 12 ou 24 palavras que pode ser usada como backup para recuperar a carteira e acessar fundos.
Microtransação: A menor transação em blockchain; neste caso, usada para mover dados.
BIP-39: Padrão de frase-semente mnemônica usado por muitas carteiras cripto.
Comando e Controle (C2): Servidor ou infraestrutura operada por atacantes para onde dados roubados são transmitidos.
RPC (Remote Procedure Call): Protocolo pelo qual carteiras se comunicam com nós da blockchain.
Perguntas Frequentes Sobre o Golpe da Carteira Chrome
Como a extensão Safery passou despercebida?
Em vez de transmitir dados via HTTP, ela codificou o segredo em transações aparentemente legítimas na blockchain Sui, evitando detecção comum de malware.
A extensão se passava por uma carteira popular?
Não, Safery criou seu próprio caminho. Não se passava por MetaMask ou qualquer marca existente, o que poderia ter facilitado a detecção.
Se alguém usou o Safery, pode recuperar o dinheiro?
A recuperação é difícil se a frase-semente vazou. A melhor ação é transferir os fundos para outra carteira com frase-semente recém-gerada.
Como saber se uma extensão de carteira é segura?
Verifique a reputação do desenvolvedor, site ou repositório ativo, avaliações consistentes e se a extensão solicita frases-semente em contextos inseguros.
Outras blockchains podem ser vulneráveis a ataques semelhantes?
Especialistas alertam que esse método pode ser imitado em outras blockchains públicas, não apenas na Sui.
