警惕！惡意以太坊錢包擴展通過Sui微交易竊取種子短語

區塊鏈安全平台Socket於2025年11月13日發布報告，揭露名爲“Safery: Ethereum Wallet”的惡意Chrome擴展通過獨特攻擊手法竊取用戶種子短語。該擴展在Chrome Web Store“以太坊錢包”搜索中排名第四，通過將BIP-39助記詞編碼至Sui區塊鏈地址並發送0.000001 SUI微交易完成數據外泄。截至報告發布，該擴展自9月29日上傳後仍可下載，零用戶評論、語法錯誤品牌信息和Gmail開發者帳戶等特徵應引起用戶高度警覺。

惡意擴展傳播途徑與僞裝策略

“Safery: Ethereum Wallet”惡意擴展自2025年9月29日上傳至Chrome Web Store後，通過搜索引擎優化策略迅速攀升至“以太坊錢包”關鍵詞搜索結果第四位，僅次於MetaMask、Wombat和Enkrypt等合法錢包。攻擊者精心設計了擴展圖標和描述，使用與正版錢包相似的藍色調界面和“安全可靠”等宣傳用語，但品牌名稱中的“Safery”拼寫錯誤（正確應爲Safety）成爲首個識別標志。

擴展頁面信息顯示，開發者聯繫郵箱爲Gmail免費帳戶，而非專業企業域名；擴展描述中存在多處語法錯誤；最重要的是，該擴展在長達45天的在線期間未能獲得任何用戶評價——這些特徵組合構成了典型的惡意軟件紅色警報。根據Google官方政策，Chrome Web Store應對擴展進行自動安全掃描，但顯然這種新型攻擊手法成功繞過了檢測機制。截至11月13日，Google尚未將該擴展下架，最新更新記錄顯示攻擊者在11月12日仍在對代碼進行優化。

數據竊取機制的技術原理剖析

與傳統惡意軟件使用命令控制服務器傳輸數據不同，該擴展採用了極其隱蔽的區塊鏈數據滲漏技術。當用戶創建新錢包或導入現有錢包時，擴展會捕獲完整的BIP-39種子短語，然後通過特定算法將12或24個單詞的助記詞編碼爲看似正常的Sui區塊鏈地址。編碼完成後，擴展會從攻擊者控制的錢包向這些僞造地址發送0.000001 SUI（約合0.000001美元）的微交易。

Socket安全研究員Kirill Boychenko解釋道，這種技術本質上將公共區塊鏈變成了數據傳輸層。攻擊者只需監控Sui鏈上交易，即可從接收方地址反解碼出原始種子短語。由於交易金額極小且混在正常流量中，普通用戶幾乎無法察覺。更危險的是，這種攻擊不依賴傳統網路監控工具，因爲數據外泄是通過合法的區塊鏈RPC調用完成，防火牆和殺毒軟件通常不會標記這些行爲。

惡意擴展攻擊特徵匯總

擴展名稱：Safery: Ethereum Wallet

上傳時間：2025年9月29日

最後更新：2025年11月12日

Chrome Store排名：第四位（搜索“以太坊錢包”）

攻擊手法：種子短語編碼至Sui地址

交易金額：0.000001 SUI

竊取目標：BIP-39助記詞

識別特徵：零評論、語法錯誤、Gmail開發者帳戶

當前狀態：仍可下載（截至11月13日）

用戶識別與防範措施指南

對於普通用戶，識別此類惡意擴展需遵循幾個關鍵原則。首先，只安裝來自官方渠道且具有大量真實評價的擴展——MetaMask擁有超過1000萬用戶和4.8星評級，而惡意擴展通常評價數量稀少。其次，仔細檢查開發者信息，正規項目會使用企業郵箱和專業網站，而非免費郵箱。第三，注意品牌一致性，拼寫錯誤和拙劣設計往往是危險信號。

在操作層面，安全專家建議採取多層防護策略。安裝新擴展前，使用VirusTotal等工具掃描擴展ID；定期檢查已安裝擴展的權限變化；使用硬體錢包存儲大額資產，避免在瀏覽器擴展中保存私鑰。對於疑似感染的用戶，應立即將資產轉移至新創建的安全錢包，並全面掃描系統。Koi Security補充建議，用戶應監控所有區塊鏈交易，尤其是金額異常的出帳，這可能表示攻擊者正在測試訪問權限。

安全行業應對與檢測技術演進

面對這種新型攻擊，安全廠商正在開發針對性檢測方案。傳統依賴域名、URL或擴展ID的檢測方法已不足以應對，因爲攻擊者完全使用合法區塊鏈基礎設施。Socket提出的新方案包括監測瀏覽器中意外的區塊鏈RPC調用、識別助記詞編碼模式、以及檢測合成地址生成行爲。特別是對於錢包創建或導入過程中發起的出帳交易，無論金額多小都應視爲高風險行爲。

從技術角度看，防御此類攻擊需要瀏覽器廠商、安全公司和區塊鏈項目的協同努力。Chrome Web Store需要加強擴展代碼的靜態和動態分析，特別是對區塊鏈API調用的審查。安全軟件應更新特徵庫，將未經授權的種子短語外傳行爲標記爲惡意。區塊鏈項目也可考慮在節點層面檢測異常交易模式，盡管這可能與去中心化理念存在一定衝突。

區塊鏈安全威脅演進歷程

從2017年釣魚網站盜取私鑰，到2021年木馬程序替換剪貼板地址，再到如今的微交易數據滲漏，區塊鏈安全威脅不斷升級進化。這種通過合法區塊鏈網路外泄數據的手法代表了新趨勢——攻擊者正在利用區塊鏈的不可篡改性和匿名性作爲攻擊工具。與傳統攻擊相比，這種方法無需維護C&C服務器，難以追溯攻擊者身分，且數據傳輸過程完全“合法”。

歷史數據顯示，錢包安全事件導致的資產損失每年超過10億美元，其中瀏覽器擴展相關事件佔比從2023年的15%上升至2025年的30%。這種增長反映了攻擊者策略的轉變——隨着硬體錢包普及，直接攻擊冷錢包難度增加，於是轉向防護相對薄弱的熱錢包擴展。值得注意的是，近期多個惡意擴展都模仿了MetaMask的UI設計，但細微差別仍可辨識。

個人數字資產安全最佳實踐

爲確保數字資產安全，用戶應建立系統化的安全習慣。首先，採用分級存儲策略：日常小額交易使用手機輕錢包，中等金額使用瀏覽器擴展配合硬件籤名，大額資產使用多重籤名冷錢包。其次，實施操作隔離：創建專用設備進行錢包相關操作，不與日常網頁瀏覽混用。第三，定期進行安全審計：檢查授權記錄、交易歷史和擴展權限。

對於企業用戶，建議部署專門的安全監控系統，跟蹤員工安裝的瀏覽器擴展，並設置區塊鏈交易預警機制。大額轉帳應要求多人授權，且接收地址需經過驗證流程。此外，定期對員工進行社會工程學攻擊培訓，提高對釣魚郵件和虛假網站的識別能力。在技術層面，考慮使用智能合約錢包，通過每日限額和可信聯繫人機制降低單點故障風險。

行業協作與監管響應需求

解決此類安全威脅需要全行業協作。瀏覽器廠商應建立更嚴格的擴展審核流程，對訪問區塊鏈API的擴展實施特殊審查。安全公司需要共享威脅情報，建立惡意擴展特徵庫。區塊鏈項目可以考慮在協議層面添加交易標記功能，允許用戶將可疑地址列入黑名單。

從監管角度看，各國可能加強對加密錢包應用的監管要求，包括強制代碼審計、開發者身分驗證和保險保障。歐盟MiCA法規已對錢包提供商提出基本要求，但執行細節仍需完善。長期來看，行業需要建立類似傳統金融的欺詐檢測和資金追回機制，盡管這與加密資產的去中心化特性存在天然張力。

安全展望

當攻擊者開始利用區塊鏈本身作爲攻擊媒介，當微交易成爲數據滲漏渠道，我們面臨的不僅是技術挑戰，更是理念革新。這種新型攻擊手法的可怕之處不在於其復雜性，而在於它顛覆了“區塊鏈交易即安全”的認知。在加密世界邁向主流的道路上，安全始終是最薄弱的環節——今天的“Safery”事件提醒我們，在信任代碼的同時，我們更需要建立系統化的驗證機制。畢竟，在數字資產世界，安全不是功能，而是根基。