La plataforma de seguridad blockchain, Socket, ha advertido sobre una nueva extensión maliciosa de billetera de criptomonedas en la Chrome Web Store de Google que tiene una forma única de robar frases semilla para vaciar los criptoactivos de los usuarios.
La extensión se llama “Safery: Ethereum Wallet” y se presenta como "una extensión de navegador fiable y segura diseñada para una gestión fácil y eficiente" de criptoactivos basados en Ethereum.
Sin embargo, como se destacó en un informe del martes de Socket, la extensión está realmente diseñada para robar frases semilla a través de una astuta puerta trasera.
“Comercializada como una billetera de Ethereum (ETH) simple y segura, contiene una puerta trasera que exfiltra frases semilla al codificarlas en direcciones Sui y transmitir microtransacciones desde una billetera Sui controlada por un actor de amenazas”, según el informe.
Cabe destacar que actualmente ocupa el cuarto resultado de búsqueda para “Ethereum Wallet” en la Chrome Store de Google, solo un par de puestos por detrás de billeteras legítimas como MetaMask, Wombat y Enkrypt.
La extensión permite a los usuarios crear nuevas billeteras o importar existentes desde otro lugar, estableciendo así dos riesgos de seguridad potenciales para el usuario.
En el primer escenario, el usuario crea una nueva billetera en la extensión e inmediatamente envía su frase semilla al actor malicioso a través de una diminuta transacción basada en Sui. Como la billetera está comprometida desde el primer día, los fondos pueden ser robados en cualquier momento.
En el segundo escenario, el usuario importa una billetera existente e introduce su frase semilla, entregándosela a los estafadores detrás de la extensión, quienes nuevamente pueden ver la información a través de la transacción.
“Cuando un usuario crea o importa una billetera, Safery: Ethereum Wallet codifica el mnemónico BIP-39 en direcciones de estilo Sui sintéticas, luego envía 0,000001 SUI a esos destinatarios utilizando un mnemónico de actor de amenaza codificado”, explicó Socket, añadiendo:
“Al decodificar a los destinatarios, el actor de amenazas reconstruye la frase semilla original y puede vaciar los criptoactivos afectados. El mnemónico sale del navegador oculto dentro de transacciones de la blockchain de aspecto normal”.
Cómo los usuarios de criptomonedas pueden evitar extensiones fraudulentas
Si bien esta extensión maliciosa aparece en los primeros puestos de los resultados de búsqueda, hay algunas señales claras de que carece de legitimidad.
La extensión tiene cero reseñas, una marca muy limitada, errores gramaticales en parte de su marca, ningún sitio web oficial y enlaces a un desarrollador que utiliza una cuenta de Gmail.
Es importante que tú investigues a fondo antes de interactuar con cualquier plataforma y herramienta de la blockchain, seas extremadamente cuidadoso con las frases semilla, tengas prácticas sólidas de ciberseguridad e investigues alternativas bien establecidas con legitimidad verificada.
Dado que esta extensión también envía microtransacciones, es esencial monitorear e identificar constantemente las transacciones de tu billetera, ya que incluso las transacciones pequeñas podrían ser perjudiciales.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
