## Chrome搜尋排名前列的假錢包詐騙：如何利用區塊鏈隱藏盜取的助記詞

加密使用者面臨一個隱蔽但致命的威脅——精心偽裝的瀏覽器錢包擴充功能正在Chrome Web Store中高居搜索前列。一個名為"Safery: Ethereum Wallet"的擴充功能曾在搜索結果中排名第四，外觀足以迷惑大多數新手用戶。Socket等安全追踪機構的分析揭示了一個驚人的真相：這個詐騙工具利用Sui區塊鏈作為秘密通道，將竊取的助記詞編碼進看似普通的微交易中。

### 精緻虛假身份如何躲過Chrome審核

"Safery"的狡猾之處在於它並未複製MetaMask或Phantom等已知品牌。相反，它創造了一個完全獨立的新身份，配備乾淨的圖標、正規的功能描述、以及大量虛假五星評論。這種做法消除了傳統仿冒品容易被識別的紅旗。

Chrome Web Store的搜尋排名演算法對此無計可施。系統主要考慮關鍵詞匹配度、安裝量增長、評論速度和上傳時間新穎度。當新擴充功能在短時間內獲得大量評論（多為範本化重複），且競爭對手更新緩慢時，瀏覽器排名演算法就會快速提升其排序位置。"Safery"正是利用這一漏洞，通過購買或自動生成假評論，在無實質競爭的利基類別中迅速攀升排名。

Google對新擴充功能的審查流程仍顯薄弱。大多數情況下，系統僅執行簡短的自動掃描和基本靜態分析。只有當應用申請訪問分頁、剪貼簿、檔案系統或歷史記錄等敏感權限時，才會觸發更嚴格的人工審查。錢包類應用普遍通過在iframe內運行或使用核准API來規避這些檢查。"Safery"採用了同樣策略，要求在"所有網站"上運行（這對去中心化應用錢包很常見），卻不提出其他異常權限請求。

### 藏在Sui區塊鏈交易中的竊盜機制

真正的犯罪發生在用戶輸入助記詞的瞬間。不同於傳統木馬將信息發送至惡意伺服器，"Safery"採用了更隱蔽的策略：它將助記詞分割成片段，編碼為隨機錢包地址，然後將這些片段隱藏在Sui區塊鏈的交易中。

具體流程是，該擴充功能發送微不足道額度的SUI代幣轉帳，這類小額交易不會引起警覺。攻擊者控制的地址作為收款方。被盜的助記詞片段被偽裝在交易備註欄或混淆的地址中。一旦數據上鏈，就永久可見，攻擊者可隨時取回、重組完整助記詞，進而在不需接觸受害者設備的情況下清空錢包。

這種方法具有戰術優勢。擴充功能無需向外部伺服器發送請求，消除了命令與控制信標、HTTP或WebSockets外洩行為，使瀏覽器和防毒軟體無法檢測。有效載荷以看似正常的區塊鏈交易離開設備，通過交易成本低廉、確認速度快的Sui鏈。實際上，詐騙者將Sui區塊鏈本身作為隱形通訊管道。

Socket追踪了多筆此類交易，確認了助記詞輸入與最終資產損失之間的因果關係。雖然資金盜竊最終可能發生在Ethereum或其他受害者資金所在的L1區塊，但整個攻擊指令卻隱藏在明面的公鏈數據中。

### 瀏覽器排名系統的結構性弱點

"Safery"的成功暴露了Chrome Web Store排名邏輯的深層漏洞。搜尋演算法高度依賴量化指標——關鍵詞匹配度、活動激增速率、評分增長曲線——這些指標極易被虛假評論和協調安裝所操縱。

在分散且競爭少的錢包類別中，一個新上架但評論數激增的應用能在數天內從無名氏躍升至前列。加之Google未對新擴充功能進行系統性人工審查，詐騙者只需在發布前秘密測試技術，確保其在靜態分析和沙箱測試中不觸發警報。

從用戶舉報到擴充功能下架之間存在時間滯後。這部分是結構性的：Chrome不會即時處理被標記的應用，除非形成壓倒性共識或識別出已知惡意軟體特徵。而"Safery"的有效載荷——混淆的JavaScript與區塊鏈編碼——恰好規避了傳統惡意軟體檢測方法。即使Reddit和Telegram上已有用戶舉報可疑行為，"Safery"仍能維持高排名。

### 用戶應如何識別與防護

安全淨化需從多個層面著手。終端用戶在安裝任何加密擴充功能前應執行檢查清單：驗證發布者歷史和身份、檢查評論模式是否存在大量相同文本、確認網站是否提供公開GitHub倉庫連結、審視權限頁面是否包含模糊或過度的訪問權限。

即使已遭感染，用戶也有補救時間窗口。迅速卸載擴充功能、撤銷所有代幣授權、用乾淨設備將資產轉移至新錢包、監控相關地址——這些步驟能有效限制損失。但對於未及時察覺或在熱錢包中存放大量資產的用戶，資金恢復的可能性近乎為零。

### 系統層面的長期解決方案

安全研究人員呼籲Chrome本身加強啟發式檢測，自動標記任何包含12或24字助記詞輸入UI元素的擴充功能。另一建議是要求錢包應用發布者進行身份驗證，提供已知品牌代碼庫的可驗證控制證明。對錢包相關權限的更嚴格審查也勢在必行，即使這些權限未包含明顯的危險訪問模式。

錢包開發者也在重新思考分發策略。部分團隊已不推薦Chrome Web Store安裝，轉而強調行動應用或桌面客戶端。有些則針對從未驗證來源安裝的用戶設置警告提示。

"Safery"事件反映了一個根本性困境：分發渠道高度分散，大多數加密用戶無法有效分辨正規錢包與精心設計的仿品。瀏覽器環境本質上是高風險的，容易遭擴充功能操縱、會話劫持、剪貼簿竊取，現在更面臨隱蔽的區塊鏈資料外洩。當錢包類應用利用瀏覽器排名算法漏洞躍升搜索前列時，信任與安全之間的邊界已然模糊。乾淨的名稱、高評分和官方外觀都不再是可信的指標。加密用戶必須認識到，Web3的自主託管承諾，在錯誤的工具手中，可能淪為完全相反的危險。