安全警告：排名靠前的Chrome「wallet」竊取你的助記詞

在十一月的幾天內，一個惡意的Chrome擴充功能在Chrome Web Store中“Ethereum wallet”關鍵詞的搜尋結果中排名第四。

這個名為“Safery: Ethereum Wallet”的擴充功能外觀看起來足夠精緻，足以讓人誤以為是正規產品。它有一個乾淨的圖標，一個帶有安全語言的通用名稱，大量五星好評，以及任何下載過加密貨幣錢包的人都熟悉的範本式描述。

在這個前端背後，是一個專門設計用來竊取助記詞並清空用戶錢包的攻擊，通過將被竊取的密碼編碼進Sui區塊鏈上的微交易中來實現。

專注於開源軟體供應鏈安全工具的公司Socket，在發現該擴充功能後進行了安裝和分析。

他們的目標是了解“Safery”如何避開檢測、攀升Chrome Store排名，以及如何在不引起警覺的情況下轉移被竊取的助記詞，同時也探討用戶如何識別類似威脅。該報告詳細說明了攻擊者的手法，既是事後分析，也是對瀏覽器擴充功能在加密領域中仍是危險盲點的警告。

這起事件值得注意的地方在於，駭客不僅僅是竊取助記詞。這部分在加密領域已經是老生常談。

真正特別的是，Safery並沒有冒充現有的錢包品牌。它不是MetaMask的仿冒品，也不是回收利用的釣魚網域。它創造了一個新身份，購買或自動生成假評論以提升搜尋排名，並以“新”錢包選項的身份上線。

這種做法意味著該上架項目沒有立即顯現的紅旗：沒有語法錯誤、沒有奇怪的權限要求，也沒有導向可疑網域的重定向。

Chrome Web Store的發布者頁面此前沒有任何投訴，其支援網址則指向一個當時尚未被安全追蹤器標記的站外網站。

由於外觀精緻，大多數用戶在點擊“Add to Chrome”前不會猶豫。該擴充功能要求在“所有網站”上運行，這對於需要訪問去中心化應用的加密錢包來說很常見。

值得注意的是，它沒有要求額外權限，也沒有嘗試注入會觸發Chrome更嚴格警告的內容腳本。品牌設計極簡，網站名稱與擴充功能一致，設置畫面提示用戶創建或導入錢包，這些都是標準行為。

助記詞竊案，透過Sui廣播

真正的損害從輸入助記詞那一刻開始。該擴充功能並未將助記詞本地儲存或加密以供用戶存取，而是悄悄將其分割成片段，並將這些片段編碼為看似隨機的錢包地址。

Socket的研究顯示，這些片段被插入到Sui區塊鏈的交易中。具體來說，該擴充功能發送極小額的SUI代幣轉帳，這些微不足道的金額不會引起注意，收款地址由攻擊者控制。

隱藏在這些交易中（無論是在備註欄還是混淆過的地址中）的是用戶助記詞的部分內容。

這種做法有戰術上的優勢。它不需要擴充功能向惡意伺服器發送外部請求。沒有命令與控制信標，也沒有HTTP或WebSockets的外洩行為，瀏覽器或防毒軟體不會標記。

這個有效載荷以看似正常的區塊鏈交易離開用戶裝置，通過一條廣泛使用、手續費低廉的鏈路。一旦上鏈，這些資料就公開可見，攻擊者可以稍後取回，重組助記詞，並在不再接觸用戶裝置的情況下清空錢包。

實際上，這場詐騙利用Sui區塊鏈本身作為通訊管道。由於Sui確認速度快、交易成本極低，它就像一個低延遲的訊息總線。

Socket追蹤了多個這類助記詞片段交易，並確認了助記詞輸入與最終資產損失之間的聯繫。雖然盜竊發生在鏈下（如Ethereum或其他受害者資金所在的L1），但執行指令卻隱藏在明面上。

在發布能夠進入Chrome錢包搜尋前列的版本之前，發布者很可能已在私下測試過這種方法。有證據顯示，早期版本曾嘗試過更簡單的資料外洩方式，隨後才完善了Sui編碼。

當該擴充功能被標記時，安裝量已足以進入Chrome的“熱門”級別，進一步提升了曝光度。Brave New Coin報導，即使Reddit和Telegram上已經出現可疑行為的舉報，“Safery”錢包仍位居“Ethereum wallet”搜尋結果前列。

Chrome演算法如何讓這一切發生

“Safery”的成功依賴於Chrome的排名邏輯。Web Store搜尋演算法會考慮關鍵詞匹配、安裝量、評論增長速度、平均評分和更新時間。

在利基類別中，活動激增的擴充功能如果競爭對手沒有頻繁更新，就能迅速攀升排名。在這個案例中，“Safery”名稱對常見查詢有高分，短時間內湧現大量正面評論（多為範本或重複），且上傳日期新穎。

沒有證據顯示Google在發布前對該上架項目進行過人工審查。Chrome Web Store政策對大多數新擴充功能只進行簡短的自動掃描和基本靜態分析。

當擴充功能申請提升權限（如訪問分頁、剪貼簿、檔案系統或歷史記錄）時，才會接受更嚴格的審查。錢包擴充功能通常通過在iframe內運行或使用核准API來避開這些警示。“Safery”正是如此。

即使用戶提出疑慮，從舉報到下架之間的時間也足夠讓損害發生。這種延遲部分是結構性的：Chrome不會即時處理被標記的擴充功能，除非有壓倒性共識或已知惡意軟體特徵。

在這個案例中，有效載荷是混淆過的JavaScript，依賴區塊鏈基礎設施，而非外部主機。傳統惡意軟體檢測方法無法發現它。

這並不是Chrome擴充功能首次被用來竊取加密貨幣。過去的詐騙包括偽造Ledger Live應用誘導用戶輸入恢復短語，或劫持合法擴充功能以獲取開發者發布金鑰。

“Safery”與眾不同之處在於其外觀的流暢性以及缺乏後端基礎設施。沒有釣魚網站可供下架，沒有伺服器可供封鎖，只有一個擴充功能將秘密轉移到公鏈上然後抽身離去。

用戶仍有一些補救措施。如果行動迅速，可以通過更換助記詞和撤銷交易授權來限制損失。

Socket等機構為安裝過該擴充功能的用戶提供了應急步驟：立即卸載、撤銷所有代幣授權、用乾淨設備將資產轉移到新錢包，並監控相關地址。對於未察覺外洩或在熱錢包中存有大量資產的用戶，資產恢復的可能性極低。

真正的危機在錢包載入前就已開始

安全研究人員和開發者呼籲Chrome本身加強啟發式檢測。有一種建議是自動標記任何包含提示輸入12或24字助記詞UI元素的擴充功能。

另一種做法是要求錢包擴充功能的發布者進行身份驗證，為已知錢包品牌的代碼庫提供可驗證的控制證明。也有呼籲對錢包相關權限進行更嚴格檢查，即使這些權限未包含明顯的危險訪問模式。

對於終端用戶，Socket發布了一份實用的擴充功能管理清單。在安裝任何加密擴充功能前，用戶應審查發布者歷史、驗證是否與知名項目相關、檢查評論模式（特別是大量相同評論）、查找帶有公開GitHub倉庫的真實網站連結，並檢查權限頁面是否有模糊或過度的存取權限。

乾淨的名稱和高評分並不代表安全。

這起事件引發了更廣泛的問題：瀏覽器在加密領域中的角色。瀏覽器錢包因其易用性和可及性而受歡迎。它們讓用戶無需切換平台或下載獨立應用即可與去中心化應用互動。

但這種便利性也帶來了風險。瀏覽器是一個高風險環境，容易受到擴充功能操控、會話劫持、剪貼簿竊取，現在還有隱蔽的區塊鏈外洩。

錢包開發者很可能會重新思考分發模式。有些團隊已經不鼓勵通過Chrome Web Store安裝，轉而推薦行動應用或桌面程式。也有團隊會針對從未驗證來源安裝的用戶設置警告。

核心問題依然存在：分發渠道分散，大多數用戶無法分辨正規錢包與精緻仿品。

“Safery”擴充功能無需仿冒MetaMask或偽裝成Phantom。它自創品牌，植入虛假信任訊號，並建立了一個利用Sui區塊鏈作為秘密信使的隱形後門。

這應該促使人們重新思考加密用戶體驗中的信任建立方式，以及即使是像瀏覽器擴充功能這樣的工具，其實也離底層非常近。

加密用戶往往認為Web3意味著主權和自我託管。但在錯誤的人手中，瀏覽器錢包不是保險庫，而是開放的端口。而Chrome並不總會在危險來臨前發出警告。