{"id":52702,"date":"2025-11-24T14:00:44","date_gmt":"2025-11-24T14:00:44","guid":{"rendered":"https:\/\/deythere.com\/?p=52702"},"modified":"2025-11-24T13:06:12","modified_gmt":"2025-11-24T13:06:12","slug":"golpe-em-carteira-chrome-exposto-extensao-rouba-sua-seed-usando-sui","status":"publish","type":"post","link":"https:\/\/deythere.com\/pt-br\/golpe-em-carteira-chrome-exposto-extensao-rouba-sua-seed-usando-sui\/","title":{"rendered":"Golpe em Carteira Chrome Exposto: Extens\u00e3o Rouba Sua Seed Usando Sui"},"content":{"rendered":"

Este artigo foi publicado pela primeira vez no Deythere<\/a>.<\/p>\n

Uma extens\u00e3o do Chrome aparentemente leg\u00edtima chamada \u201cSafery: Ethereum Wallet\u201d foi flagrada roubando frases-semente dos usu\u00e1rios em segundo plano.<\/p>\n

Em vez de servidores ou phishing cl\u00e1ssico, a extens\u00e3o armazenava as frases mnem\u00f4nicas usando pequenas transa\u00e7\u00f5es on-chain na Sui, codificadas de forma a fazer parecer que todos haviam sido roubados virtualmente sem perceber.<\/p>\n

A insidiosidade desses smart contracts permitiu que os atacantes reconstru\u00edssem as frases de recupera\u00e7\u00e3o das carteiras dos usu\u00e1rios e esvaziassem seus ativos. Este golpe em carteira Chrome exp\u00f5e um novo vetor de ataque que abusa da pr\u00f3pria blockchain para possibilitar a exfiltra\u00e7\u00e3o de dados.<\/p>\n

Disfar\u00e7ada como uma Carteira Leg\u00edtima, mas Maliciosa por Dentro<\/strong><\/h2>\n

O app \u201cSafery: Ethereum Wallet\u201d parecia a carteira organizada, segura e confi\u00e1vel que os usu\u00e1rios gostariam de usar para guardar dinheiro.<\/p>\n

Ela apareceu na Chrome Web Store como um dos principais resultados de busca por \u201cEthereum wallet\u201d, ao lado de extens\u00f5es populares como MetaMask, Wombat e Enkrypt.<\/p>\n

A p\u00e1gina do publicador era minimalista, a descri\u00e7\u00e3o enfatizava seguran\u00e7a e afirmava armazenar chaves localmente, dando a impress\u00e3o de que os usu\u00e1rios lidavam com algo seguro.<\/p>\n

A extens\u00e3o ainda solicitava permiss\u00e3o para funcionar em todos os sites uma permiss\u00e3o comum para extens\u00f5es de carteira \u2014 ent\u00e3o n\u00e3o havia alarmes \u00f3bvios para usu\u00e1rios t\u00edpicos.<\/p>\n

O Ataque Furtivo: Sui Codifica a Frase-Semente<\/strong><\/h2>\n

Ap\u00f3s a instala\u00e7\u00e3o, o Safery n\u00e3o contatou nenhum servidor de comando e controle para transferir dados. Em vez disso, como descobriu a Threat Research Team da Socket, ele codificava<\/a> a frase-semente a frase de recupera\u00e7\u00e3o de 12 ou 24 palavras usada para restaurar uma carteira na blockchain nativa em endere\u00e7os sintetizados no estilo da blockchain Sui.<\/p>\n

A extens\u00e3o ent\u00e3o enviava uma quantidade muito pequena de tokens SUI (como 0,000001 SUI) para esses endere\u00e7os manipulados, a partir de carteiras pertencentes ao atacante.<\/p>\n

Ao observar essas transa\u00e7\u00f5es na blockchain Sui e decodificar os endere\u00e7os de destino, os agentes maliciosos poderiam determinar a frase-semente completa do usu\u00e1rio.<\/p>\n

O protocolo de engenharia reversa da Socket revelou que cada palavra na frase-semente era traduzida para seu \u00edndice em uma lista padr\u00e3o BIP-39 e ent\u00e3o convertida em uma string hexadecimal, preenchida e interpretada como um endere\u00e7o falso da Sui.
\nIsso evitava chamadas de rede cl\u00e1ssicas ou tr\u00e1fego HTTP suspeito, pois a exfiltra\u00e7\u00e3o \u201cocorria\u201d na blockchain.<\/p>\n

Por Que Durou Tanto: Falhas na Verifica\u00e7\u00e3o da Chrome Store<\/strong><\/h2>\n

Parte de como o Safery alcan\u00e7ou posi\u00e7\u00f5es t\u00e3o altas na Web Store tem a ver com o funcionamento do marketplace de extens\u00f5es do Chrome.<\/p>\n

O algoritmo da loja prioriza contagem de instala\u00e7\u00f5es, velocidade de avalia\u00e7\u00f5es e classifica\u00e7\u00e3o m\u00e9dia em vez de uma verifica\u00e7\u00e3o profunda de seguran\u00e7a. Como Safery gerou avalia\u00e7\u00f5es falsas de 5 estrelas rapidamente, come\u00e7ou a ganhar tra\u00e7\u00e3o.<\/p>\n

Sua descri\u00e7\u00e3o era polida e suas permiss\u00f5es pareciam rotineiras, permitindo que passasse pelos controles de seguran\u00e7a mais rigorosos do Google.<\/p>\n

Mesmo ap\u00f3s pesquisadores alertarem sobre a amea\u00e7a, a remo\u00e7\u00e3o n\u00e3o foi imediata.
\nSegundo equipes de seguran\u00e7a, o fato de a atividade do Safery n\u00e3o incluir comportamento on-chain suspeito, mas sim presen\u00e7a on-chain sem a\u00e7\u00f5es externas estranhas, tornou mecanismos convencionais de detec\u00e7\u00e3o de malware menos eficazes.<\/p>\n

Como os Usu\u00e1rios Foram Avisados e O Que Podem Fazer<\/strong><\/h2>\n

A Socket e diversos ve\u00edculos de ciberseguran\u00e7a levantaram bandeiras vermelhas assim que descobriram o padr\u00e3o de comportamento do Safery.<\/p>\n

Eles recomendam que usu\u00e1rios nunca insiram suas frases-semente em extens\u00f5es desconhecidas ou n\u00e3o verificadas.
\nSempre que instalarem uma extens\u00e3o de carteira, os usu\u00e1rios devem checar a reputa\u00e7\u00e3o do publicador, verificar se existe um site ou reposit\u00f3rio GitHub real e analisar as avalia\u00e7\u00f5es para padr\u00f5es de elogios gen\u00e9ricos.<\/p>\n

Se algu\u00e9m acreditar que usou o Safery ou qualquer outra extens\u00e3o maliciosa similar, especialistas recomendam desinstalar a extens\u00e3o imediatamente, revogar todas as permiss\u00f5es (ERC-20 ou outras) e transferir os fundos para uma nova carteira em um dispositivo seguro.<\/p>\n

Essas etapas limitam os danos, mas qualquer carteira tocada pelo Safery est\u00e1 comprometida.<\/p>\n

Um Aviso Para o Ecossistema Cripto<\/strong><\/h2>\n

Essa vulnerabilidade que levou ao golpe da carteira Chrome vai mais fundo. As carteiras de navegador em si s\u00e3o fundamentalmente inseguras. Embora ofere\u00e7am facilidade de uso e acesso a DApps, exp\u00f5em grandes superf\u00edcies de ataque.<\/p>\n

Misturar apar\u00eancia leg\u00edtima da UI com exfiltra\u00e7\u00e3o on-chain furtiva permitiu<\/a> que a extens\u00e3o Safery evitasse mecanismos convencionais de seguran\u00e7a anti-malware. Pesquisadores de seguran\u00e7a est\u00e3o exigindo corre\u00e7\u00f5es.<\/p>\n

Sugest\u00f5es incluem sinaliza\u00e7\u00e3o autom\u00e1tica de extens\u00f5es que solicitam entrada de frase-semente, verifica\u00e7\u00f5es melhores de permiss\u00f5es e formas de verificar publicadores, ou seja, garantir que a carteira realmente pertence a um projeto cujo c\u00f3digo-fonte foi examinado segundo padr\u00f5es.<\/p>\n

Para os usu\u00e1rios, a li\u00e7\u00e3o \u00e9 dura: nem toda carteira Chrome \u00e9 segura, e confian\u00e7a deve ser conquistada, n\u00e3o dada livremente.<\/p>\n

Conclus\u00e3o<\/strong><\/h2>\n

O golpe da carteira Chrome Safery est\u00e1 entre os malwares cripto mais sofisticados. Ao inserir frases-semente em microtransa\u00e7\u00f5es da blockchain Sui, os atacantes contornaram detec\u00e7\u00f5es convencionais e constru\u00edram um canal de exfiltra\u00e7\u00e3o invis\u00edvel.<\/p>\n

O hacker da Chrome Store abusou da confian\u00e7a na loja, se elevou por avalia\u00e7\u00f5es falsas e at\u00e9 utilizou a blockchain para vazar dados privados.<\/p>\n

A li\u00e7\u00e3o para os usu\u00e1rios de carteira \u00e9 \u00f3bvia: sempre examine extens\u00f5es, monitore o tr\u00e1fego da blockchain e trate a entrada de frases-semente com extrema cautela.<\/p>\n

Gloss\u00e1rio<\/strong><\/h2>\n

Frase-semente (Mnem\u00f4nica)<\/strong>: Lista de 12 ou 24 palavras que pode ser usada como backup para recuperar a carteira e acessar fundos.<\/p>\n

Microtransa\u00e7\u00e3o<\/strong>: A menor transa\u00e7\u00e3o em blockchain; neste caso, usada para mover dados.<\/p>\n

BIP-39<\/strong>: Padr\u00e3o de frase-semente mnem\u00f4nica usado por muitas carteiras cripto.<\/p>\n

Comando e Controle (C2)<\/strong>: Servidor ou infraestrutura operada por atacantes para onde dados roubados s\u00e3o transmitidos.<\/p>\n

RPC (Remote Procedure Call)<\/strong>: Protocolo pelo qual carteiras se comunicam com n\u00f3s da blockchain.<\/p>\n

Perguntas Frequentes Sobre o Golpe da Carteira Chrome<\/strong><\/h2>\n

Como a extens\u00e3o Safery passou despercebida?<\/h3>\n

Em vez de transmitir dados via HTTP, ela codificou o segredo em transa\u00e7\u00f5es aparentemente leg\u00edtimas na blockchain Sui, evitando detec\u00e7\u00e3o comum de malware.<\/p>\n

A extens\u00e3o se passava por uma carteira popular?<\/h3>\n

N\u00e3o, Safery criou seu pr\u00f3prio caminho. N\u00e3o se passava por MetaMask ou qualquer marca existente, o que poderia ter facilitado a detec\u00e7\u00e3o.<\/p>\n

Se algu\u00e9m usou o Safery, pode recuperar o dinheiro?<\/h3>\n

A recupera\u00e7\u00e3o \u00e9 dif\u00edcil se a frase-semente vazou. A melhor a\u00e7\u00e3o \u00e9 transferir os fundos para outra carteira com frase-semente rec\u00e9m-gerada.<\/p>\n

Como saber se uma extens\u00e3o de carteira \u00e9 segura?<\/h3>\n

Verifique a reputa\u00e7\u00e3o do desenvolvedor, site ou reposit\u00f3rio ativo, avalia\u00e7\u00f5es consistentes e se a extens\u00e3o solicita frases-semente em contextos inseguros.<\/p>\n

Outras blockchains podem ser vulner\u00e1veis a ataques semelhantes?<\/h3>\n

Especialistas alertam que esse m\u00e9todo pode ser imitado em outras blockchains p\u00fablicas, n\u00e3o apenas na Sui.<\/p>\n

Refer\u00eancias<\/strong><\/h2>\n

SC Media<\/span><\/a><\/p>\n

The Hacker News<\/span><\/a><\/p>\n

Cointelegraph<\/span><\/a><\/p>\n

Cyberwarzone<\/span><\/a><\/p>\n

Daily CyberSecurity<\/span><\/a><\/p>\n

Malware Analysis<\/span><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Este artigo foi publicado pela primeira vez no Deythere. Uma extens\u00e3o do Chrome aparentemente leg\u00edtima chamada \u201cSafery: Ethereum Wallet\u201d foi flagrada roubando frases-semente dos usu\u00e1rios em segundo plano. Em vez de servidores ou phishing cl\u00e1ssico, a extens\u00e3o armazenava as frases mnem\u00f4nicas usando pequenas transa\u00e7\u00f5es on-chain na Sui, codificadas de forma a fazer parecer que todos […]<\/p>\n","protected":false},"author":31,"featured_media":36267,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[288],"tags":[2530],"ppma_author":[775],"class_list":["post-52702","post","type-post","status-publish","format-standard","has-post-thumbnail","category-negociacao","tag-sui-pt-br"],"authors":[{"term_id":775,"user_id":31,"is_guest":0,"slug":"jane-omada","display_name":"Jane Omada Apeh","avatar_url":"https:\/\/deythere.com\/wp-content\/litespeed\/avatar\/7260e790b5f43216bf49ff954d68270d.jpg?ver=1779817447","0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":""}],"_links":{"self":[{"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/posts\/52702","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/users\/31"}],"replies":[{"embeddable":true,"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/comments?post=52702"}],"version-history":[{"count":0,"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/posts\/52702\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/media\/36267"}],"wp:attachment":[{"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/media?parent=52702"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/categories?post=52702"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/tags?post=52702"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/deythere.com\/pt-br\/wp-json\/wp\/v2\/ppma_author?post=52702"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}