Как защитить криптовалюту от перехвата расширениями Chrome

Изолируйте криптоактивность: используйте отдельный браузер или профиль

только для криптовалютных операций.

Используйте аппаратный кошелёк: храните активы на Ledger или Trezor.

Всегда сверяйте детали транзакции на экране устройства, а не компьютера.

Верифицируйте расширения: устанавливайте дополнения только по ссылкам с

официальных сайтов, сверяя ID в URL магазина. Ограничивайте их разрешения.

Храните seed-фразу офлайн: запишите фразу на металлической пластине. Не

вводите её нигде, кроме как при восстановлении кошелька в официальном

приложении на чистом устройстве.

p>Обнаружение. Скрипт расширения сканирует буфер обмена на предмет строк,

похожих на криптоадреса (0x…)./p>

p>Подмена. Обнаружив адрес, расширение мгновенно заменяет его на адрес

злоумышленника. Хакеры часто генерируют адреса с похожими первыми и

последними символами (например, ваш 0xAbC…123 заменяется на 0xAbC…456),

чтобы обмануть поверхностную проверку./p>

p>Исполнение. Вы вставляете подменённый адрес, бегло его проверяете и

подтверждаете транзакцию. Средства уходят злоумышленнику./p>
p>Рекомендация: перед переводом крупной суммы всегда отправляйте

проверочную транзакцию на небольшую, незначительную сумму (эквивалент

$1–2). Убедитесь, что она дошла до получателя, и только после этого

отправляйте основной объём./p>

p>Найдите ссылку на официальном сайте проекта (например, metamask.io или

phantom.app). Не ищите сайт в Google, а вводите адрес вручную, чтобы

избежать фишинговых копий./p>

p>Перейдите по ссылке в Chrome Web Store и внимательно изучите URL в

адресной строке браузера./p>

p>Сверьте ID расширения. Уникальный идентификатор — это набор символов в

конце URL. Убедитесь, что он совпадает с официальным./p>
p>Пример для MetaMask:

https://chromewebstore.google.com/detail/metamask/nkbihfbeogaeaoehlefnkodbefgpgknn/p>
p>Здесь nkbihfbeogaeaoehlefnkodbefgpgknn — это официальный ID. Любое отличие

означает, что перед вами подделка./p>

Откройте chrome://extensions в адресной строке.

Напротив каждого расширения нажмите «Подробнее».

В разделе «Доступ к сайтам» измените значение с «На всех сайтах» на

«При нажатии на расширение». Это не позволит расширению работать в

фоновом режиме без вашего ведома.

Только физические носители. Храните seed-фразу исключительно офлайн.

Лучший вариант — специальные металлические пластины, устойчивые к огню и воде.

Бумага менее надёжна.

Никаких цифровых копий. Не храните фразу в облачных документах,

мессенджерах, менеджерах паролей или зашифрованных файлах. Если злоумышленник

получит доступ к файлу и ключу шифрования, вы потеряете всё.

Разделение для максимальной защиты. Для крупных сумм используйте стандарты

разделения, такие как Shamir’s Secret Sharing (SLIP-0039). Это позволяет

разделить фразу на несколько частей, для восстановления которых потребуется

лишь часть из них (например, 3 из 5). Храните части в разных географически

удалённых и надёжных местах.

Осторожность с подрядчиками. Если заказываете гравировку на металле,

убедитесь в надёжности сервиса или делайте это самостоятельно.

Не устанавливайте расширения из неофициальных источников (например, .CRX

файлы).

Не вводите seed-фразу на сайтах или в онлайн-формах. Единственное

исключение — восстановление кошелька в официальном, проверенном приложении.

Не отключайте предупреждения безопасности браузера.

Ключевое правило. Всегда проверяйте детали транзакции (адрес получателя,

сумму, сеть) на экране аппаратного кошелька перед подтверждением. Дисплей

устройства показывает истинную информацию, в то время как данные на экране

компьютера могут быть подменены.

Риск прошивки. Покупайте устройства только у официальных дилеров и

обновляйте прошивку строго по инструкции производителя. Компрометация прошивки

— редкий, но возможный вектор атаки.

Вредоносные приложения. Злоумышленники публикуют поддельные версии

кошельков в Google Play и App Store, а также распространяют вредоносные

APK-файлы.

Векторы атак. Такие приложения могут красть seed-фразы при создании или

импорте кошелька, перехватывать буфер обмена или использовать уязвимости ОС.

Рекомендации по защите:
ul>
li>скачивайте приложения только по ссылкам с официальных сайтов проектов;

проверяйте имя разработчика, количество скачиваний и отзывы;

используйте антивирусное ПО на Android и регулярно обновляйте операционную

систему;

не предоставляйте приложениям избыточные разрешения (доступ к контактам,

файлам и т.д.).

Изолированный профиль/браузер. Создайте отдельный профиль в Chrome или

используйте другой браузер (например, Brave) исключительно для работы с

криптовалютами. Не устанавливайте в него ничего лишнего.

Виртуальная машина (VM). Для максимальной безопасности проводите

транзакции в изолированной VM (VirtualBox, VMware), возвращая её к чистому

состоянию («снэпшоту») после каждой сессии.

Мониторинг сетевой активности:
ul>
li>инструкция в Chrome. Откройте chrome://extensions, найдите расширение,

нажмите «Подробнее» и кликните на ссылку «service worker» (или

«фоновая страница»). В открывшемся окне DevTools перейдите на вкладку

«Network». Используйте фильтр Fetch/XHR, чтобы отследить, какие данные и

на какие домены отправляет расширение. Любая отправка на неизвестные

серверы — повод для беспокойства.

внешние инструменты. Для глубокого анализа используйте прокси-серверы,

такие как mitmproxy (mitmweb —listen-port 8080), или сетевые анализаторы

вроде Wireshark.

Краткое руководство по Wireshark.

p>Что запрещено. Запрещено выполнение удалённо загружаемого кода (remote

eval). Фоновые страницы (background pages) заменены на сервис-воркеры

(service workers), что усложняет постоянную фоновую активность./p>

p>Какие риски остались:/p>
ol>
li>Вредоносные обновления. Злоумышленник может опубликовать легитимное

расширение, а затем выпустить обновление с вредоносным кодом, уже включённым

в пакет. Проверка Google не всегда это отлавливает.

Подмена контента. Расширения по-прежнему могут запрашивать доступ к

данным сайтов и изменять их содержимое (DOM). Этого достаточно для подмены

адресов и фишинга.

p>Рекомендация. Внимательно проверяйте обновления расширений и заново

просматривайте их разрешения./p>

Создайте новый кошелёк на чистом устройстве. Используйте другой компьютер

или смартфон, сброшенный до заводских настроек. Надёжно сохраните новую

seed-фразу на физическом носителе.

Пополните новый кошелёк для оплаты газа. Отправьте на новый адрес

нативные токены сети (ETH, BNB, MATIC и т.д.). Рассчитайте сумму, достаточную

для 10–15 транзакций (отзыва разрешений и перевода активов).

Импортируйте скомпрометированный ключ в чистый кошелёк. На чистом устройстве импортируйте приватный ключ взломанного кошелька в созданный

вами новый кошелёк (например, MetaMask позволяет добавить «импортированный

счёт»). Не используйте старую seed-фразу!

Отзовите права доступа к токенам (Revoke Approvals). Используя браузер на

чистом устройстве, подключитесь к сервисам вроде Revoke.cash или

Etherscan Token Approval Checker. Отзовите все разрешения, особенно

неограниченные (unlimited), выданные подозрительным смарт-контрактам.

Действуйте быстро, пока бот не украл газ.

Переведите оставшиеся активы. Сразу после отзыва разрешений переведите

все ценные токены и NFT со скомпрометированного счёта на ваш новый,

безопасный счёт.

Изолируйте и очистите заражённое устройство. Отключите компьютер от

интернета. Лучшее решение — полная переустановка операционной системы с

форматированием диска.

Отзыв разрешений (Approvals):

Revoke.cash,

Etherscan Token Approval Checker

Отчёт об инцидентах:

SlowMist «Blockchain Security Report 2023»

Пошаговое руководство по мониторингу сети в Chrome:

Google for Developers: Inspect network activity