浏览器扩展成钓鱼温床：你的私钥正被偷偷上传

几乎没人会去质疑一个评分 4.9 的钱包插件，尤其当它名字、图标都跟官网一模一样。但在过去几个月里，这种“看起来很官方”的扩展程序，正在安静地偷走用户的私钥。

安全公司 Koi 披露了一起持续数月的恶意插件投放事件，目标直指那些你以为「安装过就万事大吉」的扩展程序。这一次，黑客没有造假网站，而是直接伪装成了你最信任的钱包工具。

超过 40 个伪装插件，仍有部分未被下架

报告称，有超过 40 个伪装成主流钱包插件的恶意扩展被上传到 Firefox 插件市场，部分至今仍未下架。这些插件仿冒 MetaMask、Coinbase、Phantom 等常用钱包，图标、名称与官方版本几乎一致，甚至还刷出了大量五星好评。

一旦安装，它们会在用户访问钱包网站时静默拦截输入的助记词和私钥，并将数据发送至攻击者控制的服务器，同时记录 IP 地址用于追踪。由于这些插件大多基于官方开源代码构建，只注入了少量恶意逻辑，功能看似正常，用户很难察觉风险。

这项攻击行动至少自 2025 年 4 月起已在进行，且目前仍在活跃，攻击者系统性地利用插件生态和信任机制，将浏览器插件变成高隐蔽、高权限的钓鱼工具。

尤其在加密钱包高度依赖浏览器连接和签名的今天，这类风险被严重低估。

我们应该如何防范？

这起事件也提醒我们，插件的评分和外观早已不能作为信任依据，更可靠的做法包括：

• 只通过钱包官网获取扩展程序，避免从搜索结果或第三方推荐下载；
• 尽量不要在联网环境（比如电脑浏览器）中输入助记词或私钥，尤其避免通过插件导入钱包；
• 定期检查和清理不常用或来路不明的插件；
• 关键操作应尽可能转移到本地离线手机或硬件钱包设备上完成，避免私钥暴露在高权限插件可控的环境中。

工具本身也是攻击面

这起事件或许只是更大攻击趋势的一角。随着插件权限的持续扩展、用户安全意识的滞后，我们需要重新审视**「默认信任」的后果**。

在 Web3 里，工具本身就是攻击面，而不是中立媒介。

请保持警惕，别让你信任的「官方插件」变成窃取资产的幕后黑手。