Uma extensão do navegador anunciada como uma carteira Ethereum permaneceu acessível na Web Store, apesar dos Chrome pesquisadores a identificarem como uma ferramenta projetada para roubar criptomoedas. A extensão, chamada Safery, apareceu nos resultados de pesquisa de ferramentas de carteira e se apresentou como uma opção legítima para usuários que buscam gerenciar ativos digitais. Os analistas de segurança descobriram que o Safery estava disponível há mais de um ano e era capaz de coletar informações confidenciais dos usuários que o instalaram.
Os pesquisadores relataram que a extensão solicitava acesso a frases iniciais da carteira, que são os principais códigos de recuperação para contas de criptomoedas. Depois que um usuário digita a frase, a extensão transmite as informações de forma codificada por meio de transações no blockchain Sui. Os dados foram incorporados em endereços de transferência específicos vinculados à carteira do invasor. Ao reconstruir a frase inicial dessas transações, o operador ganhou controle total das contas criptográficas da vítima e pôde sacar fundos sem detecção até que o titular da conta percebesse a atividade.
A presença contínua da extensão na Chrome Web Store levantou questões sobre a eficácia da supervisão do mercado. Os usuários geralmente assumem que uma extensão listada em uma plataforma oficial passou por uma revisão adequada. Nesse caso, a Safery manteve uma posição entre os principais resultados para pesquisas de carteira Ethereum, aumentando a probabilidade de os usuários instalá-la sem verificar seu histórico. Embora a listagem tenha sido sinalizada publicamente, o Safery permaneceu acessível para download no momento das descobertas dos pesquisadores.
Riscos para usuários de criptomoedas e medidas para reduzir a exposição
As frases iniciais representam acesso completo a uma carteira de criptomoedas. Quando essas informações são comprometidas, os invasores podem transferir ativos para contas externas com pouca resistência. O método da Safery de ocultar dados roubados em transações de blockchain tornou a atividade difícil de detectar, mesmo para usuários experientes. Essa abordagem ignorou os avisos de segurança comuns porque não dependia de malware visível ou transmissão direta de rede. A extensão parecia funcional na superfície, o que ajudou a ocultar seu propósito.
Incidentes como esse destacam os riscos associados às extensões do navegador, principalmente aquelas que lidam com ferramentas financeiras ou chaves privadas. Os usuários confiam nessas extensões por conveniência, mas podem não considerar quanto acesso elas fornecem a informações confidenciais. Uma extensão maliciosa com permissões para visualizar ou modificar dados da carteira representa uma ameaça significativa. Mesmo um pequeno número de instalações pode resultar em perdas substanciais se os usuários armazenarem grandes participações ou gerenciarem várias contas por meio da plataforma comprometida.
A proteção de contas de criptomoedas requer um controle cuidadoso das informações da carteira e dos ambientes do navegador. Os usuários devem verificar o desenvolvedor de qualquer extensão e verificar se ela tem um histórico transparente, um registro de atualização consistente ou engajamento visível de clientes reais. Extensões com poucas informações sobre o editor ou aquelas que apareceram recentemente nas classificações de pesquisa devem ser tratadas com cautela. As avaliações podem oferecer pistas, mas nem sempre são confiáveis porque podem ser fabricadas.
Os usuários também devem monitorar as permissões solicitadas por uma extensão. Se uma ferramenta de carteira solicitar amplo acesso aos dados do navegador ou permissões não relacionadas às suas funções principais, isso pode indicar um comportamento suspeito. As configurações do navegador devem ser revisadas regularmente para remover extensões não utilizadas e limitar a exposição. A criação de um perfil de navegador separado para atividades de criptografia pode reduzir o risco, isolando as ferramentas financeiras da navegação geral.
Para usuários que armazenam ativos digitais substanciais, as carteiras de hardware oferecem maior segurança. Os dispositivos de hardware impedem que frases iniciais sejam expostas em uma janela do navegador ou interface de extensão. Eles armazenam a frase de recuperação offline, o que reduz o risco representado por software mal-intencionado. As ferramentas baseadas em navegador ainda podem ser usadas para pequenas transações ou testes, mas informações confidenciais não devem ser inseridas em extensões de fontes desconhecidas.
Os mercados que distribuem extensões de navegador enfrentam desafios contínuos na identificação e remoção de listagens maliciosas. O caso Safery mostra a facilidade com que uma extensão prejudicial pode permanecer online e atrair usuários por meio de resultados de pesquisa. Até que os processos de revisão automatizados e manuais melhorem, os usuários não podem presumir que uma listagem é segura apenas porque aparece em uma loja oficial. Uma abordagem cautelosa, combinada com o monitoramento regular da conta, continua sendo essencial para quem gerencia ativos digitais.