Поддельный криптовалютный кошелёк занимает четвёртое место в Chrome Web Store, похищая средства пользователей

Вредоносное расширение под названием "Safery: Ethereum Wallet" на первый взгляд выглядит легитимным. Оно находится сразу после доверенных кошельков, таких как MetaMask, когда пользователи ищут "Ethereum Wallet" в магазине Chrome. Однако исследователи безопасности обнаружили, что оно содержит скрытый код, предназначенный для кражи криптовалюты у любого, кто его использует.

Как работает мошенничество

Поддельный кошелёк использует сложный метод для кражи мнемонических слов пользователей. Когда кто-то создает новый кошелёк или импортирует существующий, расширение тайно кодирует их 12 или 24-словную мнемоническую фразу в поддельные адреса блокчейна Sui.

Затем вредоносный код отправляет крошечные транзакции стоимостью 0,000001 SUI токенов на эти закодированные адреса. Для сторонних наблюдателей это выглядит как нормальная активность блокчейна. Но злоумышленники могут декодировать эти транзакции, чтобы восстановить полную мнемоническую фразу жертвы и получить полный контроль над их крипто кошельком.

Источник: socket.dev

Команда безопасности Socket обнаружила это расширение и объяснила, как оно работает. "Мнемоническая фраза покидает браузер, скрытая внутри нормально выглядящих транзакций блокчейна", - говорится в их отчете. Это делает кражу практически невозможной для обнаружения с помощью традиционных методов безопасности.

Предупреждающие знаки, которые пропустили пользователи

Несколько красных флагов должны были предупредить пользователей об этом поддельном кошельке. У расширения нет отзывов пользователей, и в его описании содержатся грамматические ошибки. Также у него нет официального веб-сайта, и для связи с разработчиком указан только адрес Gmail.

Расширение было изначально загружено 29 сентября 2025 года, с последним обновлением 12 ноября 2025 года. Несмотря на эти очевидные предупреждающие знаки, поддельный кошелёк смог подняться на четвертое место в рейтинге поиска, потенциально подвергая тысячи пользователей риску кражи.

Эксперты по безопасности говорят, что этот высокий рейтинг дает вредоносному расширению "немедленную видимость и видимость легитимности для ничего не подозревающих пользователей". Это позиционирование значительно увеличивает шансы, что люди загрузят и будут использовать поддельный кошелёк до того, как обнаружат его истинную природу.

Растущая угроза для пользователей криптовалют

Мошенничество с расширениями браузера представляет растущую проблему в пространстве криптовалют. Данные отрасли показывают, что мошенничество, связанное с кошельками, привело к потере более 500 миллионов $ только в 2024 году, причем расширения браузера становятся все более популярным вектором атак, согласно отраслевым отчетам.

Время этого открытия особенно тревожно. Крипто-инструменты на базе ИИ становятся все более популярными, при этом токены ИИ-агентов выросли на 222% в конце 2024 года. По мере того как все больше людей ищут удобные способы управления своей криптовалютой, они становятся более уязвимыми для поддельных инструментов, обещающих простые решения.

Этот поддельный кошелёк представляет новый уровень сложности в краже криптовалют. В отличие от простых фишинговых веб-сайтов, которые могут быть очевидными мошенничествами, это расширение появилось в официальном магазине Google вместе с легитимными вариантами. Метод кражи мнемонических слов на основе блокчейна также является инновационным, используя прозрачность сетей блокчейна против пользователей.

Текущий статус и реакция

По состоянию на 14 ноября 2025 года, расширение Safery остается доступным для загрузки в интернет-магазине Chrome. Socket сообщил о вредоносном расширении команде безопасности Google и запросил удаление аккаунта издателя, но расширение еще не было удалено.

Продолжающаяся доступность расширения подчеркивает текущие проблемы с проверками безопасности в магазинах приложений. Хотя у Google есть политики для предотвращения вредоносного программного обеспечения, сложные мошенничества, подобные этому, могут проскользнуть через процесс одобрения и оставаться доступными в течение недель или месяцев.

Исследователи безопасности предупреждают, что эта техника может распространиться на другие сети блокчейна. Метод работает, эксплуатируя публичную природу транзакций блокчейна, что означает, что подобные атаки могут быть нацелены на пользователей Solana, Ethereum или других сетей криптовалют.

Как оставаться в безопасности

Пользователи могут защитить себя, следуя нескольким ключевым практикам безопасности. Всегда исследуйте любой крипто кошелёк или расширение перед установкой. Ищите проверенные инструменты с тысячами положительных отзывов и проверенными разработчиками.

Легитимные крипто кошельки, такие как MetaMask, проходят регулярные аудиты безопасности профессиональными фирмами. Они также поддерживают официальные веб-сайты с подробной документацией и ресурсами поддержки. Поддельным кошелькам обычно не хватает этих функций.

Никогда не делитесь мнемоническими словами ни с кем и будьте подозрительны к любому программному обеспечению, которое запрашивает вашу полную мнемоническую фразу во время нормальной работы. Легитимные кошельки требуют мнемонические фразы только во время начальной настройки или процессов восстановления.

Регулярно отслеживайте транзакции вашего кошелька на предмет любой неожиданной активности. Даже крошечные транзакции могут указывать на то, что ваша мнемоническая фраза была скомпрометирована. Используйте проводники блокчейна для просмотра всех входящих и исходящих транзакций с ваших адресов.

Включите двухфакторную аутентификацию на криптовалютных биржах и сервисах кошельков, когда это возможно. Хотя это не защитит от кражи мнемонической фразы, это добавляет дополнительный уровень безопасности для онлайн-аккаунтов.

Цифровой Дикий Запад продолжается

Этот инцидент показывает, что криптовалюта остается богатой средой для мошенников. Несмотря на годы предупреждений о рисках безопасности, поддельные кошельки и вредоносные расширения продолжают обманывать пользователей и красть миллионы долларов.

Сложность этого конкретного мошенничества – использование транзакций блокчейна для сокрытия украденных данных – предполагает, что злоумышленники постоянно разрабатывают новые методы, чтобы опережать меры безопасности. Пользователи должны оставаться бдительными и придерживаться хорошо зарекомендовавших себя, проверенных инструментов при управлении своими криптовалютными активами.