A segurança das carteiras digitais voltou ao centro das atenções após pesquisadores identificarem uma extensão maliciosa no Chrome capaz de capturar a seed phrase do usuário e drenar todos os seus ativos.
A ferramenta se apresenta como “Safery: Ethereum Wallet”, simulando uma carteira legítima, mas opera com um método avançado de exfiltração de dados que dificulta a detecção por sistemas de segurança tradicionais. O caso expõe uma nova fase de ameaças no ambiente Web3, em que extensões falsas se tornam tão perigosas quanto sites fraudulentos.
Como a Extensão Captura a Seed do Usuário
A investigação mostrou que a extensão intercepta o momento exato em que o usuário cria uma nova carteira ou importa uma já existente. Assim que a seed é gerada ou inserida, o código malicioso transforma partes dessas palavras em dados codificados que são inseridos diretamente em endereços sintéticos da blockchain Sui.
A técnica surpreende porque utiliza o próprio funcionamento da rede para mascarar o roubo, enviando microtransações quase imperceptíveis, com valores mínimos em SUI, para endereços controlados pelos criminosos. Cada uma dessas transações carrega fragmentos codificados da seed. Quando os operadores do golpe monitoram essas operações na blockchain, conseguem reconstruir integralmente a frase secreta da vítima.
A Estratégia que Dificulta a Detecção
O que torna esse ataque particularmente sofisticado é o uso da blockchain como canal de exfiltração. Ao contrário de malwares tradicionais, que dependem de servidores externos para transmitir dados roubados, a extensão utiliza apenas transações públicas da rede Sui.
Isso significa que firewalls, antivírus e ferramentas de análise de tráfego praticamente não conseguem interceptar ou bloquear o comportamento, já que, tecnicamente, tudo ocorre dentro de operações válidas. A ausência de um servidor central também aumenta a resiliência do ataque, permitindo que os golpistas troquem facilmente de cadeia ou endpoint RPC para manter a operação ativa por mais tempo.
Indícios que Entregam a Falsidade da Extensão
Embora a Safery se apresente como uma carteira legítima, alguns sinais chamam atenção. A ausência de avaliações na Chrome Web Store é um dos primeiros indícios. Além disso, o desenvolvedor utiliza um e-mail genérico, sem vínculo claro com qualquer empresa reconhecida no setor, e a descrição da extensão apresenta detalhes pouco profissionais que deveriam levantar suspeitas por parte do usuário.
Mesmo com esses elementos suspeitos, a extensão aparecia entre os primeiros resultados ao pesquisar por “Ethereum Wallet”, o que colocava usuários leigos em grande risco, já que muitos instalam ferramentas sem verificar detalhes técnicos ou histórico do desenvolvedor.
Riscos e Impacto para o Usuário
A gravidade do ataque está na possibilidade de comprometimento total da carteira da vítima. Com a seed em mãos, os criminosos podem importar o endereço em qualquer dispositivo e drenar os fundos imediatamente, sem deixar pistas que permitam reverter ou interromper a ação.
A engenharia por trás da extensão evidencia como o ambiente Web3 convive com golpes que evoluem para mecanismos mais discretos e automatizados. O caso da Safery mostra que a ameaça já não se limita a sites falsos ou links de phishing, mas inclui extensões que simulam ferramentas de uso diário e conquistam a confiança do usuário apenas pela aparência.
Kamoney: facilidade e praticidade de pagar com criptomoedas.
O Que Esse Episódio Revela Sobre Segurança na Web3
O episódio reforça a importância de usar apenas carteiras amplamente conhecidas, auditadas e de reputação consolidada. Em um cenário de ataques cada vez mais elaborados, a simples instalação de uma extensão pode representar o comprometimento total de uma carteira digital.
A comunidade Web3 precisa continuar atenta, especialmente porque métodos baseados em blockchain tornam a detecção muito mais desafiadora. Proteger a seed phrase continua sendo o ponto mais crítico da jornada do usuário, e qualquer descuido pode resultar em perdas irreversíveis.
