Une extension Chrome malveillante vole les phrases de récupération des utilisateurs d’Ethereum

La plateforme de sécurité Socket alerte sur une nouvelle extension malveillante pour navigateur dans le Chrome Web Store. L’extension, baptisée Safery: Ethereum Wallet, se présente comme un moyen sûr de gérer des actifs Ethereum, mais elle est conçue pour voler des phrases secrètes, dites seed phrases, et vider des portefeuilles.

Une porte dérobée dissimulée dans de petites transactions

Selon un rapport de Socket, l’extension intègre une porte dérobée qui envoie les seed phrases à des cybercriminels. Cela passe par de très petites transactions sur le réseau Sui. Dans ces transactions, les phrases sont transmises de manière chiffrée, ce qui les rend peu visibles. En décodant ces données, les attaquants peuvent reconstituer la seed phrase et obtenir un accès total au portefeuille.

Selon Socket, cette méthode est particulièrement sournoise, car le vol se fond dans l’activité blockchain normale et reste invisible.

Un classement trompeur dans les résultats de Chrome

L’extension malveillante apparaît actuellement en quatrième position lorsque l’on recherche « Ethereum Wallet » dans le Chrome Web Store. Safery ne se classe ainsi qu’à quelques places sous des portefeuilles réputés comme MetaMask, Wombat et Enkrypt, ce qui accroît le risque que des utilisateurs installent la mauvaise extension.

Les utilisateurs sont exposés dans deux scénarios : lors de la création d’un nouveau portefeuille, la seed phrase est envoyée directement aux attaquants ; et lors de l’import d’un portefeuille existant, ils doivent saisir leur seed phrase, qui est également transmise.

Des signaux clairs d’arnaque

Bien que l’extension soit bien classée dans les résultats de recherche, plusieurs indices laissent penser qu’il s’agit d’un outil frauduleux. L’extension n’a aucun avis, contient des fautes de grammaire, n’a pas de site officiel et mentionne un développeur avec une adresse Gmail plutôt qu’un domaine d’entreprise. La marque et le design sont également à peine travaillés.

Conseil : prudence avec les extensions de portefeuille

Socket recommande d’être particulièrement vigilant lors de l’installation de logiciels qui demandent l’accès à des portefeuilles crypto. Vérifiez toujours la provenance des extensions et ne saisissez jamais une seed phrase à la légère. Surveiller les transactions du portefeuille est également crucial, car même de petites opérations peuvent être le signe d’un abus. Il est en outre préférable d’utiliser des extensions de portefeuille connues et bien notées.

La découverte de l’extension Safery: Ethereum Wallet montre à quel point les cybercriminels opèrent avec finesse dans l’univers crypto. En se faisant passer pour un portefeuille fiable et en utilisant des techniques furtives, cette extension constitue une menace directe pour les utilisateurs. Une vigilance accrue reste indispensable pour éviter que des portefeuilles ne soient vidés.