Atenção! Extensão de carteira Ethereum maliciosa rouba frases-semente através de microtransações Sui

A plataforma de segurança Blockchain Socket publicou um relatório em 13 de novembro de 2025, revelando que uma extensão maliciosa do Chrome chamada “Safery: Ethereum Wallet” rouba a frase semente dos usuários através de um método de ataque único. A extensão ocupa o quarto lugar na pesquisa “carteira Ethereum” da Chrome Web Store, codificando a frase mnemónica BIP-39 para um endereço da blockchain SUI e enviando uma microtransação de 0,000001 SUI para concluir a fuga de dados. Até a publicação do relatório, a extensão ainda estava disponível para download desde que foi carregada em 29 de setembro, e características como zero comentários de usuários, erros gramaticais nas informações da marca e a conta de desenvolvedor do Gmail devem levantar alta suspeita entre os usuários.

Caminhos de propagação de extensões maliciosas e estratégias de disfarce

“Safery: Carteira Ethereum” é uma extensão maliciosa que, desde que foi carregada na Chrome Web Store em 29 de setembro de 2025, rapidamente subiu para a quarta posição nos resultados de pesquisa da palavra-chave “carteira Ethereum” através de estratégias de otimização para motores de busca, ficando atrás apenas de carteiras legítimas como MetaMask, Wombat e Enkrypt. Os atacantes projetaram cuidadosamente o ícone da extensão e a descrição, utilizando uma interface em tons de azul semelhante à das carteiras originais e frases promocionais como “seguro e confiável”, mas o erro de ortografia no nome da marca “Safery” (que deveria ser Safety) tornou-se o primeiro sinal de identificação.

A informação da página de extensão mostra que o e-mail de contato do desenvolvedor é uma conta gratuita do Gmail, e não um domínio empresarial profissional; a descrição da extensão contém vários erros gramaticais; o mais importante é que a extensão não conseguiu obter qualquer avaliação de usuários durante o período online de 45 dias - essas características combinadas constituem um alerta vermelho típico de malware. De acordo com a política oficial do Google, a Chrome Web Store deve realizar uma verificação de segurança automática das extensões, mas é evidente que esse novo tipo de ataque conseguiu contornar o mecanismo de detecção. Até 13 de novembro, o Google ainda não removeu a extensão, e o registro de atualizações mais recente mostra que os atacantes ainda estavam otimizando o código em 12 de novembro.

Análise dos Princípios Técnicos do Mecanismo de Roubo de Dados

Diferente do uso tradicional de servidores de comando e controle para transferir dados, esta extensão adota uma técnica de vazamento de dados de blockchain extremamente discreta. Quando o usuário cria uma nova carteira ou importa uma carteira existente, a extensão captura a frase semente BIP-39 completa e, em seguida, codifica as 12 ou 24 palavras da frase mnemónica em um endereço de blockchain SUI que parece normal, através de um algoritmo específico. Após a codificação, a extensão envia microtransações de 0.000001 SUI (aproximadamente 0.000001 dólares) para esses endereços falsificados a partir da carteira controlada pelo atacante.

O pesquisador de segurança Socket, Kirill Boychenko, explicou que essa tecnologia essencialmente transforma a blockchain pública em uma camada de transmissão de dados. Os atacantes precisam apenas monitorar as transações na cadeia Sui para decodificar o frase mnemónica original a partir do endereço do destinatário. Como o valor das transações é extremamente pequeno e se mistura ao tráfego normal, os usuários comuns quase não conseguem perceber. O mais perigoso é que esse tipo de ataque não depende de ferramentas tradicionais de monitoramento de rede, pois o vazamento de dados é realizado por meio de chamadas RPC de blockchain legítimas, e firewalls e softwares antivírus geralmente não sinalizam essas ações.

Resumo das características de ataques de expansão maliciosa

Nome da extensão: Safery: Carteira Ethereum

Data de upload: 29 de setembro de 2025

Última atualização: 12 de novembro de 2025

Classificação da Chrome Store: quarto lugar (pesquisar “Ethereum Wallet”)

Técnica de ataque: codificação da frase semente para o Endereço SUI

Valor da transação: 0.000001 SUI

Objetivo do roubo: frase mnemónica BIP-39

Características de identificação: zero comentários, erros gramaticais, conta de desenvolvedor do Gmail

Estado atual: ainda disponível para download (até 13 de novembro)

Guia de Identificação e Medidas de Prevenção do Usuário

Para os usuários comuns, identificar esse tipo de extensão maliciosa deve seguir alguns princípios-chave. Primeiro, instale apenas extensões de canais oficiais que tenham muitas avaliações reais - o MetaMask tem mais de 10 milhões de usuários e uma classificação de 4,8 estrelas, enquanto extensões maliciosas geralmente têm poucas avaliações. Em segundo lugar, verifique cuidadosamente as informações do desenvolvedor, projetos legítimos usam e-mails corporativos e sites profissionais, e não e-mails gratuitos. Terceiro, preste atenção à consistência da marca, erros de digitação e design ruim costumam ser sinais perigosos.

Em termos de operação, os especialistas em segurança recomendam a adoção de uma estratégia de defesa em múltiplas camadas. Antes de instalar novas extensões, utilize ferramentas como o VirusTotal para escanear o ID da extensão; verifique regularmente as mudanças nas permissões das extensões instaladas; armazene grandes ativos em carteiras de hardware, evitando guardar chaves privadas em extensões de navegador. Para usuários suspeitos de infecção, devem imediatamente transferir os ativos para uma nova carteira segura e realizar uma varredura completa no sistema. A Koi Security acrescenta que os usuários devem monitorar todas as transações blockchain, especialmente saídas de montantes anormais, pois isso pode indicar que atacantes estão testando permissões de acesso.

Evolução das tecnologias de resposta e detecção na indústria de segurança

Diante desse novo tipo de ataque, as empresas de segurança estão desenvolvendo soluções de detecção específicas. Os métodos tradicionais de detecção que dependem de nomes de domínio, URLs ou IDs de extensão não são mais suficientes, pois os atacantes usam completamente a infraestrutura legal de Blockchain. A nova solução proposta pela Socket inclui monitorar chamadas inesperadas de RPC de Blockchain no navegador, identificar padrões de codificação de frase mnemónica, e detectar comportamentos de geração de endereços sintéticos. Especialmente para transações de saída iniciadas durante a criação ou importação de Carteira, independentemente do valor ser pequeno, devem ser consideradas como comportamentos de alto risco.

Do ponto de vista técnico, a defesa contra esse tipo de ataque requer um esforço conjunto dos fabricantes de navegadores, empresas de segurança e projetos de blockchain. A Chrome Web Store precisa fortalecer a análise estática e dinâmica do código das extensões, especialmente na revisão das chamadas da API do blockchain. O software de segurança deve atualizar a base de características, marcando o comportamento de transmissão não autorizada de frases mnemónicas como malicioso. Os projetos de blockchain também podem considerar a detecção de padrões de transação anormais no nível dos nós, embora isso possa entrar em conflito com a ideia de descentralização.

Evolução das Ameaças à Segurança da Blockchain

Desde o roubo de chaves privadas por sites de phishing em 2017, passando pela substituição de endereços na área de transferência por malware em 2021, até a atual fuga de dados em microtransações, as ameaças à segurança do blockchain estão em constante evolução. Essa técnica de vazamento de dados através de uma rede blockchain legítima representa uma nova tendência — os atacantes estão utilizando a imutabilidade e o anonimato do blockchain como ferramentas de ataque. Em comparação com ataques tradicionais, esse método não requer a manutenção de servidores C&C, é difícil rastrear a identidade do atacante, e o processo de transmissão de dados é completamente “legal”.

Dados históricos mostram que as perdas de ativos devido a incidentes de segurança de carteiras superam 1 bilhão de dólares por ano, sendo que a proporção de incidentes relacionados a extensões de navegador subiu de 15% em 2023 para 30% em 2025. Esse crescimento reflete a mudança de estratégia dos atacantes — com a popularização das carteiras de hardware, a dificuldade de atacar carteiras frias aumenta, levando-os a direcionar seus esforços para as extensões de carteiras quentes, que têm proteção relativamente fraca. Vale ressaltar que, recentemente, várias extensões maliciosas imitaram o design da interface do MetaMask, mas as sutis diferenças ainda podem ser identificadas.

Melhores Práticas de Segurança para Ativos Digitais Pessoais

Para garantir a segurança dos ativos digitais, os usuários devem estabelecer hábitos de segurança sistemáticos. Primeiro, adote uma estratégia de armazenamento em camadas: para transações diárias de pequeno valor, utilize uma carteira leve no celular, para montantes intermediários use uma extensão de navegador em conjunto com uma assinatura de hardware, e para ativos de grande valor, utilize uma carteira fria com múltiplas assinaturas. Em segundo lugar, implemente isolamento de operações: crie dispositivos dedicados para operações relacionadas à carteira, sem misturá-los com a navegação na web diária. Terceiro, realize auditorias de segurança regularmente: verifique registros de autorização, histórico de transações e permissões de extensão.

Para usuários empresariais, recomenda-se a implementação de um sistema de monitoramento de segurança dedicado, que acompanhe as extensões de navegador instaladas pelos funcionários e configure um mecanismo de alerta de transações em blockchain. Transferências de grande valor devem exigir a autorização de várias pessoas, e o endereço de recebimento deve passar por um processo de verificação. Além disso, realize regularmente treinamentos de engenharia social para os funcionários, aumentando a capacidade de identificação de e-mails de phishing e sites falsos. No plano técnico, considere o uso de carteiras de contratos inteligentes, reduzindo o risco de falhas de ponto único através de limites diários e mecanismos de contatos de confiança.

Necessidade de colaboração da indústria e resposta regulatória

Resolver essas ameaças de segurança requer colaboração em toda a indústria. Os fabricantes de navegadores devem estabelecer um processo de auditoria de extensões mais rigoroso, aplicando uma revisão especial às extensões que acessam APIs de blockchain. As empresas de segurança precisam compartilhar informações sobre ameaças e criar um banco de dados de características de extensões maliciosas. Os projetos de blockchain podem considerar adicionar uma funcionalidade de marcação de transações em nível de protocolo, permitindo que os usuários coloquem endereços suspeitos em uma lista negra.

Do ponto de vista regulatório, os países podem reforçar os requisitos de supervisão para aplicações de carteiras de criptomoedas, incluindo auditoria de código obrigatória, verificação de identidade dos desenvolvedores e garantias de seguro. A regulamentação MiCA da União Europeia já estabeleceu requisitos básicos para os prestadores de carteiras, mas os detalhes de implementação ainda precisam ser aprimorados. A longo prazo, a indústria precisa estabelecer mecanismos de detecção de fraudes e recuperação de fundos semelhantes aos do setor financeiro tradicional, embora isso apresente uma tensão natural com as características descentralizadas dos ativos criptográficos.

Perspectivas de Segurança

Quando os atacantes começam a usar a Blockchain como meio de ataque, e as microtransações se tornam canais de vazamento de dados, enfrentamos não apenas desafios técnicos, mas também uma inovação de conceitos. O aspecto aterrador desse novo tipo de ataque não está em sua complexidade, mas sim no fato de que ele subverte a percepção de que “transações em blockchain são seguras”. No caminho do mundo das criptomoedas em direção ao mainstream, a segurança continua a ser o elo mais fraco - o evento “Safery” de hoje nos lembra que, ao confiar no código, precisamos ainda mais estabelecer mecanismos de verificação sistemáticos. Afinal, no mundo dos ativos digitais, segurança não é uma funcionalidade, mas sim a fundação.