Attention ! Une extension de portefeuille Ethereum malveillante vole des phrases de récupération via des microtransactions Sui.

La plateforme de sécurité Blockchain Socket a publié un rapport le 13 novembre 2025, révélant qu'une extension Chrome malveillante nommée “Safery: Ethereum Wallet” vole les phrases mnémoniques des utilisateurs par une technique d'attaque unique. Cette extension se classe quatrième dans la recherche “portefeuille Ethereum” du Chrome Web Store, en codant la phrase mnémonique BIP-39 dans une adresse de blockchain Sui et en envoyant une microtransaction de 0,000001 SUI pour réaliser la fuite de données. À la date de publication du rapport, cette extension est toujours téléchargeable depuis son téléchargement le 29 septembre, et des caractéristiques telles que l'absence de commentaires d'utilisateurs, des erreurs de grammaire dans les informations de marque et un compte développeur Gmail devraient alerter les utilisateurs.

Voies de propagation malveillante et stratégies de camouflage

« Safery : Portefeuille Ethereum » est une extension malveillante qui, après avoir été téléchargée sur le Chrome Web Store le 29 septembre 2025, a rapidement grimpé à la quatrième place des résultats de recherche pour le mot-clé « portefeuille Ethereum » grâce à des stratégies de référencement, juste derrière des portefeuilles légitimes comme MetaMask, Wombat et Enkrypt. Les attaquants ont soigneusement conçu l'icône et la description de l'extension, utilisant une interface de ton bleu similaire à celle des portefeuilles authentiques et des termes de promotion tels que « sécurisé et fiable », mais l'orthographe incorrecte du nom de marque « Safery » (qui devrait être « Safety ») est devenue le premier signe de reconnaissance.

L'affichage des informations sur l'extension montre que l'adresse e-mail du développeur est un compte Gmail gratuit, et non un domaine d'entreprise professionnel ; la description de l'extension contient plusieurs erreurs grammaticales ; surtout, cette extension n'a reçu aucune évaluation d'utilisateur pendant sa période en ligne de 45 jours - ces caractéristiques combinées constituent une alerte rouge typique de logiciel malveillant. Selon la politique officielle de Google, le Chrome Web Store doit effectuer des analyses de sécurité automatiques sur les extensions, mais il est évident que cette nouvelle méthode d'attaque a réussi à contourner le mécanisme de détection. Au 13 novembre, Google n'a pas encore retiré cette extension, et le dernier enregistrement de mise à jour indique que l'attaquant optimisait encore le code le 12 novembre.

Analyse technique des principes de mécanisme de vol de données

Contrairement aux logiciels malveillants traditionnels qui transmettent des données via des serveurs de commande et de contrôle, cette extension utilise une technique de fuite de données sur Blockchain extrêmement discrète. Lorsque l'utilisateur crée un nouveau Portefeuille ou importe un Portefeuille existant, l'extension capture la phrase mnémonique BIP-39 complète, puis encode les 12 ou 24 mots de la phrase mnémonique en une Adresse de Blockchain SUI apparemment normale à l'aide d'un algorithme spécifique. Une fois l'encodage terminé, l'extension envoie une microtransaction de 0.000001 SUI (environ 0.000001 dollars) vers ces adresses falsifiées depuis un Portefeuille contrôlé par l'attaquant.

Le chercheur en sécurité de Socket, Kirill Boychenko, a expliqué que cette technologie transforme essentiellement la blockchain publique en couche de transmission de données. Les attaquants n'ont qu'à surveiller les transactions sur la chaîne Sui pour déduire la phrase mnémonique originale à partir de l'adresse du destinataire. Étant donné que le montant des transactions est très faible et mélangé à un trafic normal, les utilisateurs ordinaires ne peuvent presque pas le détecter. Plus dangereux encore, cette attaque ne dépend pas des outils de surveillance réseau traditionnels, car la fuite de données est réalisée par des appels RPC de blockchain légitimes, et les pare-feu et les logiciels antivirus ne marquent généralement pas ces comportements.

Résumé des caractéristiques des attaques d'extension malveillantes

Nom d'extension : Safery : Portefeuille Ethereum

Date de téléchargement : 29 septembre 2025

Dernière mise à jour : 12 novembre 2025

Classement du Chrome Store : quatrième place (rechercher “Ethereum portefeuille”)

Méthode d'attaque : codage de la phrase mnémonique à l'adresse SUI

Montant de la transaction : 0.000001 SUI

Cible de vol : phrase mnémonique BIP-39

Caractéristiques d'identification : zéro commentaire, erreurs grammaticales, compte développeur Gmail

État actuel : toujours téléchargeable (jusqu'au 13 novembre)

Guide d'identification des utilisateurs et de mesures de prévention

Pour les utilisateurs ordinaires, identifier ce type d'extensions malveillantes nécessite de suivre quelques principes clés. Tout d'abord, n'installez que des extensions provenant de canaux officiels et ayant de nombreuses évaluations réelles - MetaMask compte plus de 10 millions d'utilisateurs et une note de 4,8 étoiles, tandis que les extensions malveillantes ont généralement peu d'évaluations. Ensuite, vérifiez soigneusement les informations sur le développeur, les projets légitimes utiliseront des adresses e-mail professionnelles et des sites Web spécialisés, et non des e-mails gratuits. Troisièmement, faites attention à la cohérence de la marque, les fautes d'orthographe et un design médiocre sont souvent des signaux d'alarme.

Sur le plan opérationnel, les experts en sécurité recommandent de mettre en place une stratégie de protection en plusieurs couches. Avant d'installer de nouvelles extensions, utilisez des outils comme VirusTotal pour scanner l'ID de l'extension ; vérifiez régulièrement les changements de permissions des extensions installées ; utilisez un portefeuille matériel pour stocker des actifs importants, afin d'éviter de sauvegarder des clés privées dans les extensions de navigateur. Pour les utilisateurs suspectés d'être infectés, il est conseillé de transférer immédiatement les actifs vers un portefeuille sécurisé nouvellement créé et de scanner entièrement le système. Koi Security ajoute que les utilisateurs devraient surveiller toutes les transactions Blockchain, en particulier les sorties de montants anormaux, ce qui pourrait indiquer que des attaquants testent les droits d'accès.

Évolution des technologies de détection et de réponse dans l'industrie de la sécurité

Face à ce nouveau type d'attaque, les entreprises de sécurité développent des solutions de détection ciblées. Les méthodes de détection traditionnelles basées sur les noms de domaine, les URL ou les ID d'extension ne suffisent plus, car les attaquants utilisent entièrement des infrastructures blockchain légitimes. La nouvelle solution proposée par Socket comprend la surveillance des appels RPC blockchain inattendus dans le navigateur, l'identification des modèles de codage de phrase mnémonique et la détection des comportements de génération d'adresses synthétiques. En particulier, pour les transactions de sortie lancées lors de la création ou de l'importation d'un portefeuille, peu importe le montant, elles doivent être considérées comme des comportements à haut risque.

D'un point de vue technique, la défense contre ce type d'attaque nécessite un effort collaboratif des fabricants de navigateurs, des entreprises de sécurité et des projets blockchain. Le Chrome Web Store doit renforcer l'analyse statique et dynamique du code des extensions, en particulier l'examen des appels d'API blockchain. Les logiciels de sécurité doivent mettre à jour leurs bases de signatures pour marquer les comportements de divulgation non autorisée de phrases mnémoniques comme malveillants. Les projets blockchain pourraient également envisager de détecter des modèles de transactions anormaux au niveau des nœuds, bien que cela puisse entrer en conflit avec l'idée de décentralisation.

Évolution des menaces à la sécurité de la Blockchain

Depuis le vol de clés privées par des sites de phishing en 2017, jusqu'à la substitution d'adresses dans le presse-papiers par des chevaux de Troie en 2021, et maintenant la fuite de données de microtransactions, les menaces à la sécurité de la Blockchain ne cessent d'évoluer et de se renforcer. Cette méthode de fuite de données via des réseaux Blockchain légitimes représente une nouvelle tendance : les attaquants utilisent l'immuabilité et l'anonymat de la Blockchain comme outils d'attaque. Comparé aux attaques traditionnelles, cette méthode ne nécessite pas de maintenir des serveurs C&C, il est difficile de retracer l'identité des attaquants, et le processus de transmission des données est entièrement “légal”.

Les données historiques montrent que les pertes d'actifs dues à des événements de sécurité des portefeuilles dépassent 1 milliard de dollars chaque année, dont la part des événements liés aux extensions de navigateur est passée de 15 % en 2023 à 30 % en 2025. Cette augmentation reflète un changement de stratégie chez les attaquants : avec la popularité croissante des portefeuilles matériels, il est devenu plus difficile d'attaquer directement les portefeuilles froids, ce qui les pousse à se tourner vers les extensions de portefeuilles chauds, qui sont relativement moins protégées. Il convient de noter que récemment, plusieurs extensions malveillantes ont imité le design UI de MetaMask, mais des différences subtiles restent reconnaissables.

Meilleures pratiques pour la sécurité des actifs numériques personnels

Pour garantir la sécurité des actifs numériques, les utilisateurs doivent établir des habitudes de sécurité systématiques. Tout d'abord, adopter une stratégie de stockage en plusieurs niveaux : utiliser un portefeuille léger sur mobile pour les petites transactions quotidiennes, un navigateur avec une extension associée à une signature matérielle pour des montants moyens, et un portefeuille froid multi-signatures pour les gros actifs. Ensuite, mettre en œuvre une isolation des opérations : créer des appareils dédiés pour les opérations liées au portefeuille, sans les mélanger avec la navigation web quotidienne. Troisièmement, effectuer régulièrement des audits de sécurité : vérifier les enregistrements d'autorisation, l'historique des transactions et les autorisations d'extension.

Pour les utilisateurs professionnels, il est conseillé de déployer un système de surveillance de la sécurité dédié, de suivre les extensions de navigateur installées par les employés et de mettre en place un mécanisme d'alerte pour les transactions sur la blockchain. Les transferts de fonds importants doivent nécessiter plusieurs autorisations, et l'adresse de réception doit passer par un processus de vérification. De plus, il est important de former régulièrement les employés aux attaques d'ingénierie sociale pour améliorer leur capacité à identifier les courriels de phishing et les faux sites web. Sur le plan technique, envisagez d'utiliser un portefeuille de contrats intelligents, en réduisant le risque de point de défaillance unique grâce à un quota quotidien et à un mécanisme de contacts de confiance.

Demande de collaboration sectorielle et de réponse réglementaire

Pour résoudre ce type de menace à la sécurité, une collaboration de l'ensemble de l'industrie est nécessaire. Les fournisseurs de navigateurs doivent établir un processus de vérification des extensions plus strict, en appliquant un examen spécial aux extensions qui accèdent à l'API Blockchain. Les entreprises de sécurité doivent partager des renseignements sur les menaces et établir une base de données des caractéristiques des extensions malveillantes. Les projets Blockchain peuvent envisager d'ajouter une fonctionnalité de marquage des transactions au niveau du protocole, permettant aux utilisateurs de mettre des adresses suspectes sur liste noire.

D'un point de vue réglementaire, les pays pourraient renforcer les exigences de régulation des applications de portefeuilles cryptographiques, y compris l'audit de code obligatoire, la vérification de l'identité des développeurs et la protection par assurance. La réglementation MiCA de l'Union européenne a déjà établi des exigences de base pour les fournisseurs de portefeuilles, mais les détails d'exécution doivent encore être améliorés. À long terme, l'industrie doit établir des mécanismes de détection de fraude et de récupération des fonds similaires à ceux des finances traditionnelles, bien que cela crée une tension naturelle avec la nature décentralisée des actifs cryptographiques.

Perspectives de sécurité

Lorsque les attaquants commencent à utiliser la Blockchain elle-même comme un moyen d'attaque, et que les microtransactions deviennent des canaux de fuite de données, nous faisons face non seulement à des défis technologiques, mais aussi à une innovation conceptuelle. La peur de cette nouvelle méthode d'attaque ne réside pas dans sa complexité, mais dans le fait qu'elle renverse la perception que “les transactions sur la Blockchain sont sécurisées”. Dans la voie de l'intégration du monde cryptographique dans le courant dominant, la sécurité reste le maillon le plus faible — l'incident “Safery” d'aujourd'hui nous rappelle que, tout en faisant confiance au code, nous avons également besoin d'établir des mécanismes de vérification systématiques. Après tout, dans le monde des actifs numériques, la sécurité n'est pas une fonctionnalité, mais une fondation.