Un’estensione del browser pubblicizzata come portafoglio Ethereum è rimasta accessibile sul Web Store nonostante i ricercatori l’abbiano Chrome identificata come uno strumento progettato per rubare criptovaluta. L’estensione, chiamata Safery, è apparsa nei risultati di ricerca per gli strumenti di portafoglio e si è presentata come un’opzione legittima per gli utenti che cercano di gestire gli asset digitali. Gli analisti della sicurezza hanno scoperto che Safery era disponibile da più di un anno ed era in grado di raccogliere informazioni sensibili dagli utenti che lo avevano installato.
I ricercatori hanno riferito che l’estensione ha richiesto l’accesso alle seed phrase del portafoglio, che sono i principali codici di recupero per gli account di criptovaluta. Una volta che un utente ha inserito la frase, l’estensione ha trasmesso le informazioni in forma codificata attraverso transazioni sulla blockchain Sui. I dati sono stati incorporati all’interno di specifici indirizzi di trasferimento collegati al portafoglio dell’aggressore. Ricostruendo la seed phrase di queste transazioni, l’operatore ha ottenuto il pieno controllo dei conti crittografici della vittima e ha potuto prelevare fondi senza essere rilevato fino a quando il titolare del conto non ha notato l’attività.
La continua presenza dell’estensione sul Chrome Web Store ha sollevato dubbi sull’efficacia della supervisione del marketplace. Gli utenti spesso presumono che un’estensione elencata su una piattaforma ufficiale sia stata sottoposta a un’adeguata revisione. In questo caso, Safery ha mantenuto una posizione tra i primi risultati per le ricerche di wallet Ethereum, aumentando la probabilità che gli utenti lo installassero senza verificarne il background. Sebbene l’elenco fosse stato segnalato pubblicamente, Safery è rimasto accessibile per il download al momento dei risultati dei ricercatori.
Rischi per gli utenti crypto e misure per ridurre l’esposizione
Le seed phrase rappresentano l’accesso completo a un portafoglio di criptovalute. Quando queste informazioni vengono compromesse, gli aggressori possono trasferire risorse su account esterni con poca resistenza. Il metodo di Safery per nascondere i dati rubati all’interno delle transazioni blockchain ha reso l’attività difficile da rilevare anche per gli utenti esperti. Questo approccio ha aggirato gli avvisi di sicurezza comuni perché non si basava su malware visibile o trasmissione diretta di rete. L’estensione appariva funzionale in superficie, il che aiutava a nascondere il suo scopo.
Incidenti come questo evidenziano i rischi associati alle estensioni del browser, in particolare quelle che gestiscono strumenti finanziari o chiavi private. Gli utenti si affidano a queste estensioni per comodità, ma potrebbero non considerare la quantità di accesso che forniscono alle informazioni sensibili. Un’estensione dannosa con autorizzazioni per visualizzare o modificare i dati del portafoglio rappresenta una minaccia significativa. Anche un numero ridotto di installazioni può comportare perdite sostanziali se gli utenti conservano grandi partecipazioni o gestiscono più account attraverso la piattaforma compromessa.
La protezione degli account di criptovaluta richiede un attento controllo sia delle informazioni del portafoglio che degli ambienti del browser. Gli utenti devono verificare lo sviluppatore di qualsiasi estensione e verificare se ha una cronologia trasparente, un record di aggiornamento coerente o un coinvolgimento visibile da parte di clienti reali. Le estensioni con poche informazioni sull’editore o quelle apparse di recente nelle classifiche di ricerca devono essere trattate con cautela. Le recensioni possono offrire indizi, ma non sono sempre affidabili perché possono essere inventate.
Gli utenti devono anche monitorare le autorizzazioni richieste da un’estensione. Se uno strumento di portafoglio richiede un ampio accesso ai dati del browser o autorizzazioni non correlate alle sue funzioni principali, ciò potrebbe indicare un comportamento sospetto. Le impostazioni del browser devono essere riviste regolarmente per rimuovere le estensioni inutilizzate e limitare l’esposizione. La creazione di un profilo del browser separato per l’attività crittografica può ridurre il rischio isolando gli strumenti finanziari dalla navigazione generale.
Per gli utenti che conservano risorse digitali sostanziali, gli hardware wallet offrono una maggiore sicurezza. I dispositivi hardware impediscono l’esposizione delle seed phrase in una finestra del browser o in un’interfaccia di estensione. Memorizzano la frase di ripristino offline, riducendo il rischio rappresentato da software dannoso. Gli strumenti basati su browser possono ancora essere utilizzati per piccole transazioni o test, ma le informazioni sensibili non devono essere inserite in estensioni da fonti sconosciute.
I marketplace che distribuiscono estensioni del browser devono affrontare sfide costanti nell’identificare e rimuovere le inserzioni dannose. Il caso Safery mostra la facilità con cui un’estensione dannosa può rimanere online e attirare gli utenti attraverso i risultati di ricerca. Fino a quando i processi di revisione automatizzati e manuali non miglioreranno, gli utenti non possono presumere che un’inserzione sia sicura solo perché appare in un negozio ufficiale. Un approccio cauto, combinato con un monitoraggio regolare dell’account, rimane essenziale per chiunque gestisca asset digitali.