Hack Alerta

Extensão maliciosa 'Safery: Ethereum Wallet' exfiltra seed phrases via Sui

Por Redação Hack Alerta Publicado em 14/11/2025 08:02 Riscos e Ameaças Tempo de leitura: 3 min

Analistas da Socket.dev encontraram uma extensão maliciosa chamada 'Safery: Ethereum Wallet' que rouba seed phrases BIP‑39 e as exfiltra codificadas em endereços sintéticos na blockchain Sui via microtransações de 0.000001 SUI. A extensão estava listada no Chrome Web Store entre carteiras legítimas, possibilitando a instalação por usuários.

Extensão no Chrome Web Store rouba seed phrases usando transações em blockchain Sui

Analistas da Socket.dev identificaram uma extensão maliciosa publicada como "Safery: Ethereum Wallet" que, segundo a análise, captura seed phrases BIP‑39 de usuários e as exfiltra codificadas em endereços sintéticos na blockchain Sui.

Modo de operação

A extensão foi publicada na Chrome Web Store em 12 de novembro de 2024. Quando um usuário cria ou importa uma carteira, o código malicioso carrega uma wordlist padrão BIP‑39, mapeia cada palavra ao seu índice e empacota esses índices em strings hexadecimais que se assemelham a endereços Sui (prefixadas por "0x").

Em seguida, o backdoor broadcasta microtransações de valor muito pequeno (0.000001 SUI) para esses endereços sintéticos a partir de carteiras controladas pelos atacantes. Observadores externos veem apenas transações aparentemente normais, enquanto os dados exfiltrados ficam embutidos nos destinos das transferências.

Mecanismo técnico

A pesquisa da Socket.dev descreve que existe um decodificador pareado capaz de reverter o processo, reconstruindo a seed phrase original palavra por palavra a partir dos índices embalados. O processo é executado silenciosamente após o usuário inserir a seed phrase, antes de completar o fluxo de login/importação na interface da extensão.

Impacto

  • Resultados da infecção: acesso completo às chaves privadas derivadas e possibilidade de drenar ativos das carteiras afetadas.
  • Visibilidade: a extensão estava listada como quarto resultado em buscas por wallets no Chrome Web Store, ao lado de carteiras legítimas como MetaMask e Enkrypt, o que favoreceu sua instalação por usuários desatentos.

Limitações e observações

O relatório técnico da Socket.dev explica a técnica de exfiltração via blockchain e quantifica o valor das microtransações (0.000001 SUI). A matéria consultada não detalha quantas instalações a extensão chegou a ter nem se já houve remoção pela Chrome Web Store até a data do relato.

Mitigações e recomendações

  • Remover extensões não verificadas que solicitam seed phrases; usar carteiras de código aberto e verificadas com histórico de auditorias.
  • Jamais inserir seed phrase em extensões de navegador; preferir hardware wallets ou aplicações com processos de auditoria reconhecidos.
  • Monitorar movimentos em endereços e habilitar alertas de transações para ativos de maior valor.

Fonte: Cyber Security News (análise Socket.dev)

Baseado em publicação original de Cyber Security News
Tags: #chrome-extension #ethereum #wallet #seed-phrase #sui #bip39 #exfiltration #socketdev #crypto
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar