研究 Web 3 安全的推特用戶 @Wallet_guard,揭露有駭客透過以名為「Google Sheets」Google Chrome 插件程式,冒充原本 Google 旗下的試算表(Sheets)應用,偷取加密資產。冒牌的插件程式是透過編寫特定的腳本,當你瀏覽器進入像 Coinbase、Kucoin、幣安(Binance)、Gate.io 等交易所時,插件便會掉包你輸入的轉帳地址拿走轉款。
(前情提要:Google研究員:北韓駭客透過「Chrome零時差漏洞」攻擊加密貨幣、媒體等機構)
(背景補充:NFT 與 Defi 玩家必學!輕鬆「撤銷」智能合約授權、防止惡意與漏洞偷竊)
Google Chrome 今年初曾爆出漏洞,讓北韓駭客有機可乘,利用漏洞對加密貨幣行業進行攻擊。這次出現漏洞的並非 Google Chrome 本身,而是來自插件功能。專門研究Web 3 相關安全的推特用戶 @Wallet_guard,揭露有駭客透過以名為「Google Sheets」Google Chrome 插件程式,冒充原本 Google 旗下的試算表(Sheets)應用,偷取加密資產。不過心思細膩的讀者就能發現箇中的破綻﹕
這個冒牌的 Google Sheets 圖示,還額外附送 Docs(文件) 跟 Slides(簡報),而且真正的試算表功能也只會以「Sheets」呈現,而非「Google Sheets」。
Details about the malicious extension/
This extension is claiming to be 'Google Sheets' on the official chrome store you can see the real extension is called 'Sheets' with a completely different icon.
Malicious icon shown below pic.twitter.com/gxcmkL3jdk
— Wallet Guard (@wallet_guard) August 20, 2022
掉包你在交易所輸入過的轉帳地址
到底這個冒牌「Google Sheets」是怎樣乘虛而入,偷走被害者的資產呢?冒牌的插件程式是透過編寫特定的腳本,當你瀏覽器進入像 Coinbase、Kucoin、幣安(Binance)、Gate.io 等交易所時,他會透過網頁的文件物件模型,得知特定欄位為轉帳地址。
正當你輸入了正確地址,甚至再三確認也好,它會在你送出表單前一刻,立即掉包成他早已備好的地址。這讓你即使被騙,也不會立刻察覺。
What does it do?/
In the image below you can see when you have this malicious extension downloaded it will modify the content of a website to replace a deposit address with their own.
🔎On the left you can see the injected address, on the right you can see the original. pic.twitter.com/v0cYek3qq2
— Wallet Guard (@wallet_guard) August 20, 2022
有趣的是, @wallet_guard 發現 Kucoin 有些情況能成功阻擋插件功能,但卻未知具體原因。
Observations/
🔎 We also noticed some Kucoin scripts being blocked however, we're unsure why.
🔎 On the left you can see that nothing external was loaded on the main page.
🔎 On the right you can see code injection on the deposit or withdrawal pages via the 'Google Sheets' pic.twitter.com/sM96zuq3zo
— Wallet Guard (@wallet_guard) August 20, 2022
追蹤贓款動向
後來 @wallet_guard 刻意效下魚餌,並成功上釣,進一步追蹤騙徒的資金動向。他留意到錢最終流向,魚餌進到 0x11a2cDBcaB651553C406c5a8364FD63A030Bf2D3 錢包後,再流向 0x47db355dbb2d11ab65df6a79a9b4e0a2cdad3ba7 、 0x7483a733c05a52e474fd190a5b28cff08f31d853 和網上銀行。不過,目前還未知道是轉帳到哪一間銀行。
Here you can see the hacker also moving funds to a bank (currently unknown which) pic.twitter.com/xjr6eUNMXa
— Wallet Guard (@wallet_guard) August 20, 2022
檢查你的插件會否偷換你的地址
如果你不確定自己的插件功能會不會被開「後門」,你可以右按「插件功能」,點進管理版面,去檢視該插件的原代碼,留意會否出現如圖下的原始碼。不過,更重要的是,切忌胡亂安裝來歷不明的插件程式,尤其是未有在 Google 官方應用商店上架的,確保所用的插件獲得安全認證。
⚠️Web3 Extension Malware
There is a new scam going around that leverages a chrome extension to intercept and modify your exchange deposit address & withdrawal requests. This means that even if you double check your addresses, you can still become a victim 1/🧵
Co-Auth: @0xQuit pic.twitter.com/NodpkcrMgk
— Wallet Guard (@wallet_guard) August 20, 2022
📍相關報導📍
神魚警告 : 盡快更新Chrome瀏覽器!避免Metamask (小狐狸錢包) 遭漏洞攻擊
Defi、NFT投資者必學工具》瀏覽器擴充 Revoke — 撤銷可疑合約授權、釣魚網站警示
慎防釣魚|統計 : 6月Discord NFT詐騙增55%、損失2200萬美元、攻擊源疑自中國
