{"id":52702,"date":"2025-11-24T14:00:44","date_gmt":"2025-11-24T14:00:44","guid":{"rendered":"https:\/\/deythere.com\/?p=52702"},"modified":"2025-11-24T13:06:12","modified_gmt":"2025-11-24T13:06:12","slug":"golpe-em-carteira-chrome-exposto-extensao-rouba-sua-seed-usando-sui","status":"publish","type":"post","link":"https:\/\/deythere.com\/pt-br\/golpe-em-carteira-chrome-exposto-extensao-rouba-sua-seed-usando-sui\/","title":{"rendered":"Golpe em Carteira Chrome Exposto: Extens\u00e3o Rouba Sua Seed Usando Sui"},"content":{"rendered":"

Este artigo foi publicado pela primeira vez no Deythere<\/a>.<\/p>\n

Uma extens\u00e3o do Chrome aparentemente leg\u00edtima chamada \u201cSafery: Ethereum Wallet\u201d foi flagrada roubando frases-semente dos usu\u00e1rios em segundo plano.<\/p>\n

Em vez de servidores ou phishing cl\u00e1ssico, a extens\u00e3o armazenava as frases mnem\u00f4nicas usando pequenas transa\u00e7\u00f5es on-chain na Sui, codificadas de forma a fazer parecer que todos haviam sido roubados virtualmente sem perceber.<\/p>\n

A insidiosidade desses smart contracts permitiu que os atacantes reconstru\u00edssem as frases de recupera\u00e7\u00e3o das carteiras dos usu\u00e1rios e esvaziassem seus ativos. Este golpe em carteira Chrome exp\u00f5e um novo vetor de ataque que abusa da pr\u00f3pria blockchain para possibilitar a exfiltra\u00e7\u00e3o de dados.<\/p>\n

Disfar\u00e7ada como uma Carteira Leg\u00edtima, mas Maliciosa por Dentro<\/strong><\/h2>\n

O app \u201cSafery: Ethereum Wallet\u201d parecia a carteira organizada, segura e confi\u00e1vel que os usu\u00e1rios gostariam de usar para guardar dinheiro.<\/p>\n

Ela apareceu na Chrome Web Store como um dos principais resultados de busca por \u201cEthereum wallet\u201d, ao lado de extens\u00f5es populares como MetaMask, Wombat e Enkrypt.<\/p>\n

A p\u00e1gina do publicador era minimalista, a descri\u00e7\u00e3o enfatizava seguran\u00e7a e afirmava armazenar chaves localmente, dando a impress\u00e3o de que os usu\u00e1rios lidavam com algo seguro.<\/p>\n

A extens\u00e3o ainda solicitava permiss\u00e3o para funcionar em todos os sites uma permiss\u00e3o comum para extens\u00f5es de carteira \u2014 ent\u00e3o n\u00e3o havia alarmes \u00f3bvios para usu\u00e1rios t\u00edpicos.<\/p>\n

O Ataque Furtivo: Sui Codifica a Frase-Semente<\/strong><\/h2>\n

Ap\u00f3s a instala\u00e7\u00e3o, o Safery n\u00e3o contatou nenhum servidor de comando e controle para transferir dados. Em vez disso, como descobriu a Threat Research Team da Socket, ele codificava<\/a> a frase-semente a frase de recupera\u00e7\u00e3o de 12 ou 24 palavras usada para restaurar uma carteira na blockchain nativa em endere\u00e7os sintetizados no estilo da blockchain Sui.<\/p>\n

A extens\u00e3o ent\u00e3o enviava uma quantidade muito pequena de tokens SUI (como 0,000001 SUI) para esses endere\u00e7os manipulados, a partir de carteiras pertencentes ao atacante.<\/p>\n

Ao observar essas transa\u00e7\u00f5es na blockchain Sui e decodificar os endere\u00e7os de destino, os agentes maliciosos poderiam determinar a frase-semente completa do usu\u00e1rio.<\/p>\n

O protocolo de engenharia reversa da Socket revelou que cada palavra na frase-semente era traduzida para seu \u00edndice em uma lista padr\u00e3o BIP-39 e ent\u00e3o convertida em uma string hexadecimal, preenchida e interpretada como um endere\u00e7o falso da Sui.
\nIsso evitava chamadas de rede cl\u00e1ssicas ou tr\u00e1fego HTTP suspeito, pois a exfiltra\u00e7\u00e3o \u201cocorria\u201d na blockchain.<\/p>\n

Por Que Durou Tanto: Falhas na Verifica\u00e7\u00e3o da Chrome Store<\/strong><\/h2>\n

Parte de como o Safery alcan\u00e7ou posi\u00e7\u00f5es t\u00e3o altas na Web Store tem a ver com o funcionamento do marketplace de extens\u00f5es do Chrome.<\/p>\n

O algoritmo da loja prioriza contagem de instala\u00e7\u00f5es, velocidade de avalia\u00e7\u00f5es e classifica\u00e7\u00e3o m\u00e9dia em vez de uma verifica\u00e7\u00e3o profunda de seguran\u00e7a. Como Safery gerou avalia\u00e7\u00f5es falsas de 5 estrelas rapidamente, come\u00e7ou a ganhar tra\u00e7\u00e3o.<\/p>\n

Sua descri\u00e7\u00e3o era polida e suas permiss\u00f5es pareciam rotineiras, permitindo que passasse pelos controles de seguran\u00e7a mais rigorosos do Google.<\/p>\n

Mesmo ap\u00f3s pesquisadores alertarem sobre a amea\u00e7a, a remo\u00e7\u00e3o n\u00e3o foi imediata.
\nSegundo equipes de seguran\u00e7a, o fato de a atividade do Safery n\u00e3o incluir comportamento on-chain suspeito, mas sim presen\u00e7a on-chain sem a\u00e7\u00f5es externas estranhas, tornou mecanismos convencionais de detec\u00e7\u00e3o de malware menos eficazes.<\/p>\n

Como os Usu\u00e1rios Foram Avisados e O Que Podem Fazer<\/strong><\/h2>\n

A Socket e diversos ve\u00edculos de ciberseguran\u00e7a levantaram bandeiras vermelhas assim que descobriram o padr\u00e3o de comportamento do Safery.<\/p>\n

Eles recomendam que usu\u00e1rios nunca insiram suas frases-semente em extens\u00f5es desconhecidas ou n\u00e3o verificadas.
\nSempre que instalarem uma extens\u00e3o de carteira, os usu\u00e1rios devem checar a reputa\u00e7\u00e3o do publicador, verificar se existe um site ou reposit\u00f3rio GitHub real e analisar as avalia\u00e7\u00f5es para padr\u00f5es de elogios gen\u00e9ricos.<\/p>\n

Se algu\u00e9m acreditar que usou o Safery ou qualquer outra extens\u00e3o maliciosa similar, especialistas recomendam desinstalar a extens\u00e3o imediatamente, revogar todas as permiss\u00f5es (ERC-20 ou outras) e transferir os fundos para uma nova carteira em um dispositivo seguro.<\/p>\n

Essas etapas limitam os danos, mas qualquer carteira tocada pelo Safery est\u00e1 comprometida.<\/p>\n

Um Aviso Para o Ecossistema Cripto<\/strong><\/h2>\n

Essa vulnerabilidade que levou ao golpe da carteira Chrome vai mais fundo. As carteiras de navegador em si s\u00e3o fundamentalmente inseguras. Embora ofere\u00e7am facilidade de uso e acesso a DApps, exp\u00f5em grandes superf\u00edcies de ataque.<\/p>\n

Misturar apar\u00eancia leg\u00edtima da UI com exfiltra\u00e7\u00e3o on-chain furtiva permitiu<\/a> que a extens\u00e3o Safery evitasse mecanismos convencionais de seguran\u00e7a anti-malware. Pesquisadores de seguran\u00e7a est\u00e3o exigindo corre\u00e7\u00f5es.<\/p>\n

Sugest\u00f5es incluem sinaliza\u00e7\u00e3o autom\u00e1tica de extens\u00f5es que solicitam entrada de frase-semente, verifica\u00e7\u00f5es melhores de permiss\u00f5es e formas de verificar publicadores, ou seja, garantir que a carteira realmente pertence a um projeto cujo c\u00f3digo-fonte foi examinado segundo padr\u00f5es.<\/p>\n

Para os usu\u00e1rios, a li\u00e7\u00e3o \u00e9 dura: nem toda carteira Chrome \u00e9 segura, e confian\u00e7a deve ser conquistada, n\u00e3o dada livremente.<\/p>\n

Conclus\u00e3o<\/strong><\/h2>\n

O golpe da carteira Chrome Safery est\u00e1 entre os malwares cripto mais sofisticados. Ao inserir frases-semente em microtransa\u00e7\u00f5es da blockchain Sui, os atacantes contornaram detec\u00e7\u00f5es convencionais e constru\u00edram um canal de exfiltra\u00e7\u00e3o invis\u00edvel.<\/p>\n

O hacker da Chrome Store abusou da confian\u00e7a na loja, se elevou por avalia\u00e7\u00f5es falsas e at\u00e9 utilizou a blockchain para vazar dados privados.<\/p>\n

A li\u00e7\u00e3o para os usu\u00e1rios de carteira \u00e9 \u00f3bvia: sempre examine extens\u00f5es, monitore o tr\u00e1fego da blockchain e trate a entrada de frases-semente com extrema cautela.<\/p>\n

Gloss\u00e1rio<\/strong><\/h2>\n

Frase-semente (Mnem\u00f4nica)<\/strong>: Lista de 12 ou 24 palavras que pode ser usada como backup para recuperar a carteira e acessar fundos.<\/p>\n

Microtransa\u00e7\u00e3o<\/strong>: A menor transa\u00e7\u00e3o em blockchain; neste caso, usada para mover dados.<\/p>\n

BIP-39<\/strong>: Padr\u00e3o de frase-semente mnem\u00f4nica usado por muitas carteiras cripto.<\/p>\n

Comando e Controle (C2)<\/strong>: Servidor ou infraestrutura operada por atacantes para onde dados roubados s\u00e3o transmitidos.<\/p>\n

RPC (Remote Procedure Call)<\/strong>: Protocolo pelo qual carteiras se comunicam com n\u00f3s da blockchain.<\/p>\n

Perguntas Frequentes Sobre o Golpe da Carteira Chrome<\/strong><\/h2>\n

Como a extens\u00e3o Safery passou despercebida?<\/h3>\n

Em vez de transmitir dados via HTTP, ela codificou o segredo em transa\u00e7\u00f5es aparentemente leg\u00edtimas na blockchain Sui, evitando detec\u00e7\u00e3o comum de malware.<\/p>\n

A extens\u00e3o se passava por uma carteira popular?<\/h3>\n

N\u00e3o, Safery criou seu pr\u00f3prio caminho. N\u00e3o se passava por MetaMask ou qualquer marca existente, o que poderia ter facilitado a detec\u00e7\u00e3o.<\/p>\n

Se algu\u00e9m usou o Safery, pode recuperar o dinheiro?<\/h3>\n

A recupera\u00e7\u00e3o \u00e9 dif\u00edcil se a frase-semente vazou. A melhor a\u00e7\u00e3o \u00e9 transferir os fundos para outra carteira com frase-semente rec\u00e9m-gerada.<\/p>\n

Como saber se uma extens\u00e3o de carteira \u00e9 segura?<\/h3>\n

Verifique a reputa\u00e7\u00e3o do desenvolvedor, site ou reposit\u00f3rio ativo, avalia\u00e7\u00f5es consistentes e se a extens\u00e3o solicita frases-semente em contextos inseguros.<\/p>\n

Outras blockchains podem ser vulner\u00e1veis a ataques semelhantes?<\/h3>\n

Especialistas alertam que esse m\u00e9todo pode ser imitado em outras blockchains p\u00fablicas, n\u00e3o apenas na Sui.<\/p>\n

Refer\u00eancias<\/strong><\/h2>\n

SC Media<\/span><\/a><\/p>\n

The Hacker News<\/span><\/a><\/p>\n

Cointelegraph<\/span><\/a><\/p>\n

Cyberwarzone<\/span><\/a><\/p>\n

Daily CyberSecurity<\/span><\/a><\/p>\n

Malware Analysis<\/span><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Este artigo foi publicado pela primeira vez no Deythere. Uma extens\u00e3o do Chrome aparentemente leg\u00edtima chamada \u201cSafery: Ethereum Wallet\u201d foi flagrada roubando frases-semente dos usu\u00e1rios em segundo plano. Em vez de servidores ou phishing cl\u00e1ssico, a extens\u00e3o armazenava as frases mnem\u00f4nicas usando pequenas transa\u00e7\u00f5es on-chain na Sui, codificadas de forma a fazer parecer que todos […]<\/p>\n","protected":false},"author":31,"featured_media":36267,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[288],"tags":[2530],"ppma_author":[775],"class_list":{"0":"post-52702","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-negociacao","8":"tag-sui-pt-br"},"authors":[{"term_id":775,"user_id":31,"is_guest":0,"slug":"jane-omada","display_name":"Jane Omada Apeh","avatar_url":"https:\/\/deythere.com\/wp-content\/litespeed\/avatar\/7260e790b5f43216bf49ff954d68270d.jpg?ver=1776187612","author_category":"","first_name":"Jane Omada","last_name":"Apeh","user_url":"","job_title":"","description":"Omada is a dedicated crypto journalist with a passion for making the fast-paced world of digital assets understandable and engaging. With years of experience covering cryptocurrency and blockchain innovation, she offers readers more than just the headlines. She provides context, clarity, and depth. Her work spans everything from market trends and regulatory updates to emerging technologies and real-world use cases that are shaping the future of finance. \r\nOmada strives to bridge the gap between complex crypto concepts and everyday readers, ensuring that both seasoned investors and curious newcomers can find value in her insights. Her mission is simply to inform, inspire, and keep her audience one step ahead in the ever-evolving crypto universe."}],"_links":{"self":[{"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/posts\/52702","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/users\/31"}],"replies":[{"embeddable":true,"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/comments?post=52702"}],"version-history":[{"count":0,"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/posts\/52702\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/media\/36267"}],"wp:attachment":[{"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/media?parent=52702"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/categories?post=52702"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/tags?post=52702"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/ppma_author?post=52702"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}