Durante unos días en noviembre, una extensión maliciosa de Chrome ocupó el cuarto lugar entre los resultados de “billetera Ethereum” en Chrome Internet Retailer.
La extensión, llamada “Seguridad: Etereum Pockets”, parecía lo suficientemente pulido como para pasar por legítimo. Tenía un ícono limpio, un nombre genérico adyacente al lenguaje de seguridad, una avalancha de reseñas de cinco estrellas y descripciones repetitivas familiares para cualquiera que haya descargado una billetera criptográfica.
Detrás de esa interfaz había un ataque diseñado específicamente para robar frases iniciales y vaciar las billeteras de los usuarios codificando secretos robados en microtransacciones en la cadena de bloques Sui.
Socket, una empresa de herramientas de seguridad centrada en cadenas de suministro de software program de código abierto, instaló y analizado la extensión después de que fue descubierta.
Su objetivo period comprender cómo “Safery” evitó la detección, ascendió en la clasificación de Chrome Retailer y movió frases iniciales robadas sin generar alarmas, así como qué podían hacer los usuarios para detectar amenazas similares. El informe analiza el enfoque del atacante y sirve como una autopsia y una advertencia de que las extensiones del navegador siguen siendo un punto ciego peligroso en las criptomonedas.
Este caso es digno de mención porque los piratas informáticos no solo robaron frases iniciales. Desafortunadamente, esa parte es un territorio muy transitado en criptografía.
Lo que lo hace notable es que Safery no falsificó una marca de billetera existente. No period una réplica de MetaMask ni un dominio de phishing reciclado. Inventó una identidad, compró o botó reseñas falsas para ascender en los rankings de búsqueda y se lanzó como una “nueva” opción de billetera.
Este enfoque significó que la lista no mostró señales de alerta inmediatas: sin gramática rota, sin permisos extraños y sin redirección a dominios sospechosos.
La página del editor de Chrome Internet Retailer no tuvo quejas previas y su URL de soporte conducía a un sitio fuera de la plataforma que no había sido marcado por rastreadores de seguridad en el momento del análisis de Socket.
Dada su apariencia pulida, la mayoría de los usuarios no habrían dudado antes de hacer clic en “Agregar a Chrome”. La extensión solicitó ejecutarse en “todos los sitios net”, una solicitud común para billeteras criptográficas que necesitan acceso a aplicaciones descentralizadas.
En specific, no solicitó permisos adicionales ni intentó inyectar secuencias de comandos de contenido que desencadenarían las advertencias más agresivas de Chrome. La marca period minimalista, el sitio net coincidía con el nombre de la extensión y la pantalla de configuración pedía a los usuarios que crearan o importaran una billetera, nuevamente, un comportamiento estándar.
El robo de semillas, retransmitido por Sui
El verdadero daño comenzó una vez que se ingresó una frase inicial. En lugar de almacenar la frase localmente o cifrarla para el acceso del usuario, la extensión la dividió silenciosamente en fragmentos y los codificó como lo que parecían ser direcciones de billetera aleatorias.
La investigación de Socket muestra que estos fragmentos se insertaron en las transacciones de la cadena de bloques Sui. Específicamente, la extensión emitió pequeñas transferencias de tokens SUI, cantidades minúsculas que no llamarían la atención, a direcciones controladas por el atacante.
Ocultas dentro de esas transacciones, ya sea en campos de notas o en direcciones ofuscadas, había partes de la frase inicial del usuario.
Este enfoque tenía ventajas tácticas. No requería la extensión para enviar solicitudes salientes a servidores maliciosos. No había ninguna baliza de comando y management ni exfiltración a través de HTTP o WebSockets que un navegador o antivirus pudiera detectar.
La carga útil salió del dispositivo del usuario como una transacción blockchain de apariencia regular, enrutada a través de una cadena ampliamente utilizada y de bajo costo. Una vez en la cadena, los datos eran de acceso público, lo que permitía al atacante recuperarlos más tarde, reconstruir la frase inicial y barrer las billeteras sin volver a tocar el dispositivo del usuario.
De hecho, la estafa utilizó la propia cadena de bloques Sui como canal de comunicación. Y como Sui tiene tiempos de confirmación rápidos y costos de transacción insignificantes, funcionó como un bus de mensajes de baja latencia.
Socket rastreó múltiples ejemplos de estas transacciones de fragmentos de semillas y confirmó el vínculo entre la entrada de semillas y la eventual pérdida de activos. Si bien los robos ocurrieron fuera de la cadena, ya sea en Etereum u otros L1 donde las billeteras de las víctimas contenían fondos, las instrucciones para llevarlas a cabo estaban ocultas a plena vista.
Antes de lanzar la versión que llegó a los primeros resultados de billetera de Chrome, el editor probablemente probó este método en privado. La evidencia muestra que compilaciones anteriores experimentaron con filtraciones de datos más simples antes de que se refinara la codificación Sui.
Cuando se marcó la extensión activa, tenía suficientes instalaciones para alcanzar el nivel de “tendencia” de Chrome, lo que aumentó aún más su visibilidad. Courageous New Coin informó que la billetera “Safery” se encontraba entre los primeros resultados de las búsquedas de “billetera Ethereum”, incluso cuando circularon informes de comportamiento sospechoso en Reddit y Telegram.
Cómo el algoritmo de Chrome lo permitió
El éxito de “Safery” dependió de la lógica de clasificación de Chrome. El algoritmo de búsqueda de la tienda net sopesa la concordancia de palabras clave, el recuento de instalaciones, la velocidad de revisión, la calificación promedio y la actualidad de las actualizaciones.
Las extensiones con una gran actividad, especialmente en categorías de nicho, pueden ascender rápidamente si los competidores mejor examinados no se actualizan con frecuencia. En este caso, “Safery” tenía un nombre que obtuvo una buena puntuación en consultas comunes, una avalancha de críticas positivas, muchas de ellas con plantilla o duplicadas, y una nueva fecha de carga.
No hay evidencia que demuestre que Google revisó manualmente esta lista antes de su publicación. La política de Chrome Internet Retailer trata la mayoría de las extensiones nuevas con un breve escaneo automatizado y un análisis estático basic.
Las extensiones se someten a un escrutinio más profundo cuando solicitan permisos elevados, como acceso a pestañas, portapapeles, sistemas de archivos o historial. Las extensiones de billetera a menudo evitan estos indicadores operando dentro de iframes o utilizando API aprobadas. La “seguridad” se mantuvo dentro de esos límites.
Incluso cuando los usuarios expresaron sus preocupaciones, el tiempo entre la denuncia y la eliminación se prolongó lo suficiente como para que se produjeran daños. Parte de ese retraso es estructural: Chrome no actúa instantáneamente sobre las extensiones marcadas a menos que exista un consenso abrumador o firmas de malware conocidas.
En este caso, la carga útil period JavaScript ofuscado que dependía de la infraestructura blockchain, no de hosts externos. Los métodos tradicionales de detección de malware no lo detectaron.
Esta no es la primera vez que se utilizan extensiones de Chrome para robar criptomonedas. Las estafas anteriores incluyen aplicaciones falsas de Ledger Stay que solicitaban a los usuarios ingresar frases de recuperación o extensiones legítimas secuestradas que permitían a los atacantes acceder a la clave de publicación del desarrollador.
Lo que hace diferente a “Safery” es la suavidad de la fachada y la ausencia de infraestructura de backend. No había ningún sitio de phishing que eliminar, ningún servidor que bloquear, solo una extensión que trasladaba secretos a una cadena pública y se marchaba.
Los usuarios todavía tenían algún recurso. Si actuaran rápidamente, podrían limitar la exposición rotando semillas y revocando aprobaciones de transacciones.
Socket y otros proporcionaron pasos de clasificación para cualquiera que instalara la extensión: desinstalarla inmediatamente, revocar cualquier aprobación de token, transferir activos a una nueva billetera usando un dispositivo limpio y monitorear las direcciones asociadas. Para los usuarios que no notaron la filtración o que almacenaron grandes cantidades en billeteras activas, la recuperación seguía siendo poco possible.
El verdadero problema comienza antes de que se cargue la billetera
Los investigadores y desarrolladores de seguridad exigen heurísticas más sólidas por parte del propio Chrome. Una solución propuesta es marcar automáticamente cualquier extensión que incluya elementos de la interfaz de usuario que soliciten una frase de 12 o 24 palabras.
Otro enfoque es exigir una certificación del editor para las extensiones de billetera, lo que proporciona prueba verificable de que un editor determinado controla el código base detrás de una marca de billetera conocida. También hay llamados a una inspección más estricta de los permisos relacionados con las billeteras, incluso cuando no incluyan patrones de acceso peligrosos.
Para los usuarios finales, Socket publicó una lista de verificación práctica para la gestión de extensiones. Antes de instalar cualquier extensión criptográfica, los usuarios deben revisar el historial del editor, verificar la asociación con un proyecto conocido, inspeccionar el patrón de revisión, especialmente las ráfagas de revisiones idénticas, verificar enlaces de sitios net reales con repositorios públicos de GitHub y escanear la pestaña de permisos en busca de acceso vago o amplio.
Un nombre limpio y una calificación alta no son suficientes.
Este caso plantea preguntas más amplias sobre el papel del navegador en las criptomonedas. Las carteras de navegador ganaron popularidad debido a su accesibilidad y facilidad de uso. Permiten a los usuarios interactuar con aplicaciones descentralizadas sin cambiar de plataforma ni descargar aplicaciones independientes.
Pero esa accesibilidad se ha producido a costa de la exposición. El navegador es un entorno de alto riesgo sujeto a manipulación de extensiones, secuestro de sesiones, raspadores del portapapeles y, ahora, exfiltración encubierta de blockchain.
Es possible que los desarrolladores de billeteras reconsideren los modelos de distribución. Algunos equipos ya desaconsejan las instalaciones de Chrome Internet Retailer y prefieren aplicaciones móviles o archivos binarios de escritorio. Otros pueden generar advertencias para los usuarios que intentan realizar la instalación desde fuentes no verificadas.
El problema central persiste: la distribución está fragmentada y la mayoría de los usuarios no saben cómo distinguir una billetera legítima de un clon pulido.
La extensión “Safery” no necesitaba parecerse a MetaMask ni hacerse pasar por Phantom. Creó su propia marca, sembró señales de confianza falsas y construyó una puerta trasera invisible que utilizaba la cadena de bloques Sui como mensajero.
Esto debería obligar a repensar cómo se establece la confianza en la cripto UX y qué tan cerca del steel están realmente incluso las herramientas casuales como las extensiones del navegador.
Los usuarios de criptomonedas asumen que Web3 significa soberanía y autocustodia. Pero en las manos equivocadas, una billetera de navegador no es una bóveda, es un puerto abierto. Y Chrome no siempre te avisará antes de que algo se escape.
