Alerta de segurança: Extensão de carteira no Chrome mais bem classificada rouba sua seedphrase

Por alguns dias em novembro, uma extensão maliciosa do Chrome ficou classificada como o quarto resultado para “Ethereum wallet” na Chrome Web Store.

A extensão, chamada “Safery: Ethereum Wallet”, parecia suficientemente polida para passar como legítima. Tinha um ícone limpo, um nome genérico adjacente a uma linguagem de segurança, uma enxurrada de avaliações cinco estrelas e descrições padronizadas familiares para qualquer pessoa que já tenha baixado uma carteira cripto.

Por trás desse frontend havia um ataque projetado para roubar frases-semente e esvaziar carteiras de usuários, codificando segredos roubados em microtransações na blockchain Sui.

A Socket, uma empresa de ferramentas de segurança focada em cadeias de suprimentos de software open-source, instalou e analisou a extensão após sua descoberta.

O objetivo deles era entender como a “Safery” evitou a detecção, subiu nos rankings da Chrome Store e movimentou frases-semente roubadas sem levantar alarmes, além de identificar o que os usuários poderiam fazer para detectar ameaças semelhantes. O relatório detalha a abordagem do atacante e serve tanto como um pós-mortem quanto como um alerta de que extensões de navegador continuam sendo um ponto cego perigoso no universo cripto.

Este caso é notável porque os hackers não apenas roubaram frases-semente. Essa parte, infelizmente, já é um território bem conhecido no mundo cripto.

O que o torna notável é que a Safery não imitava uma marca de carteira existente. Não era um clone da MetaMask nem um domínio de phishing reciclado. Ela criou uma identidade, comprou ou automatizou avaliações falsas para subir nos rankings de busca e foi lançada como uma opção de carteira “nova”.

Essa abordagem fez com que o anúncio não apresentasse sinais de alerta imediatos: sem erros de gramática, sem permissões estranhas e sem redirecionamento para domínios suspeitos.

A página do editor na Chrome Web Store não tinha reclamações anteriores, e sua URL de suporte levava a um site fora da plataforma que não havia sido sinalizado por rastreadores de segurança no momento da análise da Socket.

Dada sua aparência polida, a maioria dos usuários não hesitaria antes de clicar em “Adicionar ao Chrome”. A extensão pedia para rodar em “todos os sites”, um pedido comum para carteiras cripto que precisam de acesso a aplicativos descentralizados.

Notavelmente, ela não solicitava permissões extras nem tentava injetar scripts de conteúdo que acionariam os avisos mais agressivos do Chrome. A marca era minimalista, o site combinava com o nome da extensão e a tela de configuração solicitava que os usuários criassem ou importassem uma carteira, novamente, um comportamento padrão.

O roubo da seed, transmitido pela Sui

O verdadeiro dano começava assim que uma frase-semente era inserida. Em vez de armazenar a frase localmente ou criptografá-la para acesso do usuário, a extensão silenciosamente a dividia em fragmentos e os codificava como se fossem endereços de carteira aleatórios.

A pesquisa da Socket mostra que esses fragmentos eram inseridos em transações na blockchain Sui. Especificamente, a extensão emitia pequenas transferências de tokens SUI, quantias minúsculas que não chamariam atenção, para endereços controlados pelo atacante.

Escondidos dentro dessas transações, seja em campos de memo ou em endereços ofuscados, estavam pedaços da frase-semente do usuário.

Essa abordagem tinha vantagens táticas. Não exigia que a extensão enviasse solicitações externas para servidores maliciosos. Não havia beacon de comando e controle nem exfiltração via HTTP ou WebSockets que um navegador ou antivírus pudesse sinalizar.

O payload saía do dispositivo do usuário como uma transação blockchain aparentemente normal, roteada por uma rede amplamente utilizada e de baixas taxas. Uma vez on-chain, os dados ficavam publicamente acessíveis, permitindo que o atacante os recuperasse depois, reconstruísse a frase-semente e esvaziasse as carteiras sem precisar acessar novamente o dispositivo do usuário.

Na prática, o golpe usava a própria blockchain Sui como canal de comunicação. E como a Sui tem tempos de confirmação rápidos e custos de transação insignificantes, funcionava como um canal de mensagens de baixa latência.

A Socket rastreou vários exemplos dessas transações de fragmentos de seed e confirmou a ligação entre a inserção da seed e a eventual perda de ativos. Embora os roubos ocorressem off-chain, seja no Ethereum ou em outros L1s onde as carteiras das vítimas tinham fundos, as instruções para executá-los estavam escondidas à vista de todos.

Antes de lançar a versão que chegou ao topo dos resultados de carteiras no Chrome, o editor provavelmente testou esse método em privado. Evidências mostram que versões anteriores experimentaram vazamentos de dados mais simples antes que a codificação na Sui fosse aprimorada.

Quando a extensão ativa foi sinalizada, já tinha instalações suficientes para alcançar o nível “em alta” do Chrome, aumentando ainda mais sua visibilidade. A Brave New Coin relatou que a carteira “Safery” estava entre os principais resultados para buscas de “Ethereum wallet” mesmo enquanto relatos de comportamento suspeito circulavam no Reddit e Telegram.

Como o algoritmo do Chrome permitiu isso

O sucesso da “Safery” dependia da lógica de classificação do Chrome. O algoritmo de busca da Web Store considera correspondência de palavras-chave, número de instalações, velocidade de avaliações, avaliação média e data da última atualização.

Extensões com um pico de atividade, especialmente em categorias de nicho, podem subir rapidamente se concorrentes mais bem avaliados não forem atualizados com frequência. Neste caso, a “Safery” tinha um nome que pontuava bem para buscas comuns, uma enxurrada de avaliações positivas, muitas delas padronizadas ou duplicadas, e uma data de upload recente.

Não há evidências de que o Google tenha revisado manualmente esse anúncio antes da publicação. A política da Chrome Web Store trata a maioria das novas extensões com uma breve varredura automatizada e análise estática fundamental.

Extensões passam por uma análise mais profunda quando solicitam permissões elevadas, como acesso a abas, área de transferência, sistemas de arquivos ou histórico. Extensões de carteira geralmente evitam esses alertas operando dentro de iframes ou usando APIs aprovadas. A “Safery” permaneceu dentro desses limites.

Mesmo quando os usuários levantaram preocupações, o tempo entre o relato e a remoção foi longo o suficiente para que danos ocorressem. Parte dessa demora é estrutural: o Chrome não age instantaneamente sobre extensões sinalizadas, a menos que haja consenso esmagador ou assinaturas conhecidas de malware.

Neste caso, o payload era JavaScript ofuscado que dependia da infraestrutura blockchain, não de hosts externos. Métodos tradicionais de detecção de malware não o capturaram.

Esta não é a primeira vez que extensões do Chrome são usadas para roubar cripto. Golpes anteriores incluem aplicativos falsos do Ledger Live que solicitavam frases de recuperação ou extensões legítimas sequestradas que permitiam aos atacantes acessar a chave de publicação do desenvolvedor.

O que torna a “Safery” diferente é a suavidade da fachada e a ausência de infraestrutura de backend. Não havia site de phishing para derrubar, nem servidor para bloquear, apenas uma extensão movendo segredos para uma blockchain pública e indo embora.

Os usuários ainda tinham algum recurso. Se agissem rapidamente, poderiam limitar a exposição trocando as seeds e revogando aprovações de transações.

A Socket e outros forneceram etapas de triagem para quem instalou a extensão: desinstale imediatamente, revogue quaisquer aprovações de tokens, transfira os ativos para uma nova carteira usando um dispositivo limpo e monitore os endereços associados. Para usuários que não perceberam a exfiltração ou que armazenavam grandes quantias em hot wallets, a recuperação continuava improvável.

O verdadeiro problema começa antes mesmo da carteira carregar

Pesquisadores de segurança e desenvolvedores estão pedindo heurísticas mais fortes do próprio Chrome. Uma solução proposta é sinalizar automaticamente qualquer extensão que inclua elementos de interface solicitando uma frase de 12 ou 24 palavras.

Outra abordagem é exigir atestação do editor para extensões de carteira, fornecendo prova verificável de que determinado editor controla o código por trás de uma marca de carteira conhecida. Também há pedidos por inspeção mais rigorosa das permissões relacionadas a carteiras, mesmo quando não incluem padrões de acesso perigosos.

Para os usuários finais, a Socket publicou um checklist prático para gerenciamento de extensões. Antes de instalar qualquer extensão cripto, os usuários devem revisar o histórico do editor, verificar associação com um projeto conhecido, inspecionar o padrão das avaliações, especialmente explosões de avaliações idênticas, checar links reais de sites com repositórios públicos no GitHub e analisar a aba de permissões para acessos vagos ou amplos.

Um nome limpo e uma avaliação alta não são suficientes.

Este caso levanta questões mais amplas sobre o papel do navegador no universo cripto. Carteiras de navegador ganharam popularidade devido à acessibilidade e facilidade de uso. Elas permitem que usuários interajam com aplicativos descentralizados sem trocar de plataforma ou baixar aplicativos separados.

Mas essa acessibilidade veio ao custo de exposição. O navegador é um ambiente de alto risco sujeito à manipulação de extensões, sequestro de sessões, scrapers de área de transferência e agora exfiltração oculta via blockchain.

Desenvolvedores de carteiras provavelmente repensarão modelos de distribuição. Algumas equipes já desencorajam instalações pela Chrome Web Store, preferindo aplicativos móveis ou binários para desktop. Outras podem criar avisos para usuários que tentam instalar de fontes não verificadas.

O problema central permanece: a distribuição é fragmentada e a maioria dos usuários não sabe distinguir uma carteira legítima de um clone polido.

A extensão “Safery” não precisou se parecer com a MetaMask ou se passar pela Phantom. Ela criou sua própria marca, semeou sinais falsos de confiança e construiu uma porta dos fundos invisível que usava a blockchain Sui como mensageira.

Isso deveria forçar uma reavaliação de como a confiança é estabelecida na experiência do usuário cripto e de quão próximo do metal até mesmo ferramentas casuais como extensões de navegador realmente estão.

Usuários cripto presumem que Web3 significa soberania e autocustódia. Mas, nas mãos erradas, uma carteira de navegador não é um cofre, é uma porta aberta. E o Chrome nem sempre vai avisar antes que algo passe despercebido.