Sicherheit: Ethereum Wallet Chrome-Erweiterung
Cybersicherheitsforscher haben eine gefährliche Chrome-Erweiterung entdeckt, die sich als legitime Ethereum-Wallet ausgibt. Die Erweiterung mit dem Namen „Safery: Ethereum Wallet“ behauptet, eine „sichere Wallet zur Verwaltung der Kryptowährung Ethereum mit flexiblen Einstellungen“ anzubieten. Sie wurde erstmals am 29. September 2025 im Chrome Web Store veröffentlicht und zuletzt am 12. November aktualisiert. Obwohl sie wie eine einfache und sichere Ethereum-Wallet (ETH) aussieht, verbirgt sie ausgeklügelte Schadsoftware, die darauf ausgelegt ist, die Seed-Phrasen der Nutzer zu stehlen.
Inhaltsverzeichnis
Funktionsweise der Schadsoftware
Die schädliche Erweiterung enthält eine Hintertür, die Wallet-Mnemonikphrasen durch Kodierung in gefälschte Sui-Adressen exfiltriert. Anschließend sendet sie Mikrotransaktionen von einer vom Angreifer kontrollierten Sui-Wallet, wodurch dieser sensible Informationen ohne einen herkömmlichen Command-and-Control-Server (C2-Server) extrahieren kann.
Der Arbeitsablauf gestaltet sich wie folgt:
- Die Erweiterung kodiert die Seed-Phrase eines Benutzers als Sui-Adresse.
- Es sendet winzige Mikrotransaktionen (0,000001 SUI) von der Wallet des Angreifers an diese gefälschten Adressen.
- Der Angreifer überwacht die Blockchain und entschlüsselt die Empfängeradressen, um die ursprünglichen Seed-Phrasen zu rekonstruieren.
- Sobald der Angreifer die Wallet wiederhergestellt hat, kann er die Vermögenswerte des Opfers aus dessen Wallet abziehen.
Diese Methode ermöglicht es dem Angreifer, sensible Daten durch scheinbar normale Blockchain-Transaktionen einzuschleusen und so herkömmliche Erkennungsmechanismen zu umgehen.
Herausforderungen bei der Bedrohungserkennung
Diese Angriffstechnik ist besonders heimtückisch, da sie Angreifern einen einfachen Wechsel zwischen Blockchains und RPC-Endpunkten ermöglicht. Daher können Abwehrmechanismen, die sich ausschließlich auf Domains, URLs oder spezifische Erweiterungs-IDs stützen, versagen. Unerwartete Blockchain-RPC-Aufrufe vom Browser, insbesondere wenn das Produkt angibt, auf einer einzigen Blockchain zu laufen, sollten als Warnsignale mit hohem Risiko eingestuft werden.
Empfohlene Minderungsstrategien
Zum Schutz vor dieser Bedrohung raten Cybersicherheitsexperten zu folgenden Vorsichtsmaßnahmen:
Hinweis für Nutzer : Installieren Sie Wallet-Erweiterungen nur aus vertrauenswürdigen und verifizierten Quellen. Vermeiden Sie Erweiterungen, die neu veröffentlicht wurden oder nur wenige Bewertungen haben.
Für Sicherheitsverantwortliche : Scannen Sie Browsererweiterungen auf schädliches Verhalten wie mnemonische Codierer, Generatoren synthetischer Adressen und fest codierte Seed-Phrasen. Blockieren Sie jede Erweiterung, die versucht, während der Wallet-Erstellung oder des Imports Transaktionen in die Blockchain zu schreiben.
Durch die Anwendung dieser Vorsichtsmaßnahmen können sowohl Endbenutzer als auch Sicherheitsteams das Risiko des Diebstahls der Seed-Phrase und unautorisierter Geldabhebungen deutlich reduzieren.
