Investigadores descubrieron que la extensión maliciosa “Safery: Ethereum Wallet”, aún disponible en Chrome Web Store, roba frases semilla de usuarios mientras se presenta como un monedero legítimo y seguro.
La extensión fue subida el 29 de septiembre de 2025, actualizada por última vez el 12 de noviembre y aparece incluso en los primeros resultados de búsqueda de “Ethereum Wallet”, aumentando su probabilidad de instalación.
¿Qué está pasando con la extensión “Safery”?
La extensión se anuncia como un monedero privado, amigable y sin recopilación de datos, pero en realidad está diseñada para extraer y exfiltrar la frase semilla (BIP-39) de cualquier usuario que cree o importe una wallet dentro del navegador.
Pese a las denuncias de los investigadores, aún se encuentra disponible para descarga y está vinculada a la cuenta del publicador kifagusertyna@gmail[.]com, cuya suspensión ya fue solicitada a Google.
¿Cómo roba las frases semilla este monedero falso?
El método utilizado por el actor de amenaza es altamente evasivo y se basa en el uso de blockchains públicas como canal de exfiltración, sin usar HTTP, dominios maliciosos ni tráfico evidente.
El proceso funciona así:
Cuando el usuario crea o importa una wallet, la extensión convierte cada palabra de la frase BIP-39 en un índice numérico.
Esos índices se empaquetan en formato hexadecimal, se rellenan hasta 64 caracteres y se transforman en direcciones sintéticas estilo Sui.
Las frases de 12 palabras generan una dirección; las de 24 palabras, dos.
Usando un mnemonic del atacante, el malware envía microtransacciones de 0.000001 SUI hacia estas direcciones sintéticas.
El atacante lee estas transacciones desde la blockchain, decodifica las direcciones y recupera la frase semilla original.
Con la frase reconstruida, puede vaciar por completo los activos del usuario.
Todo ocurre en memoria, dentro del navegador, disfrazado como tráfico blockchain completamente normal.
¿Por qué esta técnica es tan peligrosa?
El uso de una blockchain como canal de exfiltración hace que:
No exista tráfico C2 tradicional.
No haya URLs o dominios maliciosos que detectar.
No aparezcan peticiones sospechosas saliendo del navegador.
Sea trivial para los atacantes cambiar de red (Sui, Solana, EVM) o de endpoints RPC.
Muchas defensas basadas en firmas o IoCs resulten inútiles.
Socket advierte que esta técnica probablemente se reutilizará en otros monederos, ecosistemas y extensiones, ampliando el impacto potencial.
¿Qué riesgos enfrentan los usuarios ahora mismo?
Pérdida total de fondos si ingresan su frase semilla en esta extensión.
Robo sigiloso y difícil de rastrear.
Exposición a futuras versiones de la misma técnica en otras wallets.
Confianza rota en los resultados de búsqueda de Chrome Web Store, incluso cuando parecen legítimos.
La extensión sigue disponible, por lo que el riesgo es activo y crítico.
¿Qué deberían hacer los usuarios y los equipos de seguridad?
Desinstalar inmediatamente Safery: Ethereum Wallet si está instalada.
Considerar comprometida cualquier frase semilla introducida en ella.
Migrar fondos a una wallet nueva con frase semilla nueva, nunca reutilizada.
Revisar cuidadosamente cualquier extensión antes de instalarla, incluso si aparece en los primeros resultados.
Implementar controles corporativos que bloqueen la instalación de extensiones no verificadas.
Mantener vigilancia sobre nuevas variantes que utilicen exfiltración vía blockchain.
