浏览器扩展成钓鱼温床:你的私钥正被偷偷上传
要点总结
• 超过 40 个假钱包插件被发现仿冒 MetaMask、Coinbase 等,部分至今仍未下架
• 插件基于官方代码构建,仅注入恶意逻辑,功能看似正常,实际拦截并窃取助记词、私钥和 IP 地址
• 高评分、官方图标让用户失去警惕,信任机制被系统性滥用
• 建议:仅从钱包官网获取插件、不在插件中导入私钥、定期清理扩展程序、关键操作用硬件钱包完成
• Web3 中,工具就是攻击面。插件不是“中立工具”,默认信任就是最大漏洞
几乎没人会去质疑一个评分 4.9 的钱包插件,尤其当它名字、图标都跟官网一模一样。但在过去几个月里,这种“看起来很官方”的扩展程序,正在安静地偷走用户的私钥。
安全公司 Koi 披露了一起持续数月的恶意插件投放事件,目标直指那些你以为「安装过就万事大吉」的扩展程序。这一次,黑客没有造假网站,而是直接伪装成了你最信任的钱包工具。
超过 40 个伪装插件,仍有部分未被下架
报告称,有超过 40 个伪装成主流钱包插件的恶意扩展被上传到 Firefox 插件市场,部分至今仍未下架。这些插件仿冒 MetaMask、Coinbase、Phantom 等常用钱包,图标、名称与官方版本几乎一致,甚至还刷出了大量五星好评。
一旦安装,它们会在用户访问钱包网站时静默拦截输入的助记词和私钥,并将数据发送至攻击者控制的服务器,同时记录 IP 地址用于追踪。由于这些插件大多基于官方开源代码构建,只注入了少量恶意逻辑,功能看似正常,用户很难察觉风险。
这项攻击行动至少自 2025 年 4 月起已在进行,且目前仍在活跃,攻击者系统性地利用插件生态和信任机制,将浏览器插件变成高隐蔽、高权限的钓鱼工具。
尤其在加密钱包高度依赖浏览器连接和签名的今天,这类风险被严重低估。
我们应该如何防范?
这起事件也提醒我们,插件的评分和外观早已不能作为信任依据,更可靠的做法包括:
- 只通过钱包官网获取扩展程序,避免从搜索结果或第三方推荐下载;
- 尽量不要在联网环境(比如电脑浏览器)中输入助记词或私钥,尤其避免通过插件导入钱包;
- 定期检查和清理不常用或来路不明的插件;
- 关键操作应尽可能转移到本地离线手机或硬件钱包设备上完成,避免私钥暴露在高权限插件可控的环境中。
工具本身也是攻击面
这起事件或许只是更大攻击趋势的一角。随着插件权限的持续扩展、用户安全意识的滞后,我们需要重新审视**「默认信任」的后果**。
在 Web3 里,工具本身就是攻击面,而不是中立媒介。
请保持警惕,别让你信任的「官方插件」变成窃取资产的幕后黑手。
