4 juni 2026
In november jongstleden was er enige dagen een kwaadaardige Chrome-extensie te vinden, die zich positioneerde als het vierde resultaat bij de zoekopdracht “Ethereum wallet” in de Chrome Web Store. De extensie, genaamd “Safery: Ethereum Wallet,” oogde voldoende professioneel om als legaal te worden beschouwd. Met een schone iconografie, een generieke naam die in lijn lag met veiligheidstermen, een overvloed aan vijf-sterrenreviews en standaard beschrijvingen die bekend voorkwamen bij iedereen die ooit een crypto wallet heeft gedownload, leek het een geloofwaardige optie.
Achter deze façade schuilde een opzettelijke aanval met als doel het stelen van seed phrases (de geheimen die toegang bieden tot crypto wallets) en het leegroven van gebruikersportefeuilles. Dit gebeurde door de gestolen geheimen te coderen in microtransacties op de Sui blockchain.
Socket, een beveiligingsbedrijf dat zich richt op open-source software en de bijbehorende supply chains, installeerde en analyzeerde de extensie nadat deze was ontdekt. Hun doel was om te begrijpen hoe “Safery” onopgemerkt bleef, hoe het in de ranglijst van de Chrome Store steeg en de gestolen seed phrases verwerkte zonder alarm te veroorzaken. Het rapport schetst de aanpak van de aanvallers en dient als zowel een postmortem als een waarschuwing dat browserextensies een gevaarlijk blinde vlek blijven in de wereld van crypto.
Het opmerkelijke aan deze zaak was dat de hackers niet enkel seed phrases steelden, wat een al te bekend probleem binnen de crypto-ruimte is. Wat deze aanval bijzonder maakte, was dat Safery geen bestaande wallet-merk imiteerde. Het was geen lookalike van MetaMask of een gerecycled phishingdomein. Het creëerde een identiteit, kocht of automatiseerde valse reviews om de zoekresultaten te beïnvloeden, en lanceerde zichzelf als een “nieuwe” wallet-optie.
Dit zorgde ervoor dat de vermelding geen onmiddellijke rode vlaggen vertoonde: geen gebroken grammatica, geen vreemde toestemmingen en geen omleidingen naar verdachte domeinen. De uitgeverpagina van de Chrome Web Store had geen eerdere klachten, en de ondersteunings-URL leidde naar een off-platform site die op het moment van Socket’s analyse niet was gemeld door beveiligingssystemen.
Gezien de professionele uitstraling zouden de meeste gebruikers weinig aarzeling hebben om op “Toevoegen aan Chrome” te klikken. De extensie vroeg om toegang tot “alle websites,” een veelvoorkomende vereiste voor crypto wallets die toegang nodig hebben tot gedecentraliseerde applicaties. Wat opviel was dat het geen extra toestemmingen aanvroeg of probeerde invoerscripts in te voegen die Chrome’s agressievere waarschuwingen zouden triggeren. De branding was minimalistisch, de website sloot aan bij de naam van de extensie, en het opstartscherm vroeg gebruikers om een wallet te creëren of te importeren — opnieuw, standaardgedrag.
De daadwerkelijke schade begon toen een seed phrase werd ingevoerd. In plaats van de zin lokaal op te slaan of te versleutelen voor toegang door de gebruiker, splitste de extensie deze stilletjes in fragmenten en codeerde ze als wat leek op willekeurige wallet-adressen. Socket’s onderzoek toont aan dat deze fragmenten werden ingevoegd in transacties op de Sui blockchain. Specifiek, de extensie voerde kleine SUI-tokenoverboekingen uit, minieme bedragen die geen aandacht zouden trekken, naar adressen die door de aanvaller werden beheerd. Verborgen binnen deze transacties, in memo-velden of obfuscate adressen, bevonden zich stukjes van de gebruikers’ seed phrase.
Deze benadering had tactische voordelen. De extensie hoefde geen uitgaande verzoeken naar kwaadaardige servers te sturen. Er was geen command-and-control signaal of exfiltratie via HTTP of WebSockets die een browser of antivirussoftware zou kunnen opmerken. De payload verliet het apparaat van de gebruiker als een normaal ogende blockchain-transactie, geleid door een veelgebruikte, lage-kosten keten. Eenmaal op de chain was de data openbaar toegankelijk, wat de aanvaller in staat stelde deze later op te halen, de seed phrase te reconstrueren, en wallets te leegroven zonder het apparaat van de gebruiker opnieuw aan te raken.
Effectief gebruikte de scam de Sui blockchain zelf als communicatiemiddel. Door de snelle bevestigingstijden en de verwaarloosbare transactiekosten fungeerde het als een laag-latente berichtenbus. Socket traceerde meerdere voorbeelden van deze seed-fragment transacties en bevestigde de link tussen het invoeren van de seed en het uiteindelijke verlies van activa. Terwijl de diefstallen plaatsvonden buiten de chain, bijvoorbeeld op Ethereum of andere L1s waar de wallets van de slachtoffers fondsen hielden, stonden de instructies voor de uitvoering ervan verborgen in het volle zicht.
Voordat de versie die in Chrome’s beste walletresultaten terechtkwam werd vrijgegeven, testte de uitgever waarschijnlijk deze methode privé. Bewijs toont aan dat eerdere builds experimenteerden met eenvoudigere datalekken voordat de Sui-codering werd verfijnd. Tegen de tijd dat de actieve extensie werd gemeld, had deze voldoende installaties om de “trending” status van Chrome te bereiken, wat de zichtbaarheid verder vergrootte. Brave New Coin rapporteerde dat de “Safery” wallet tussen de topresultaten voor “Ethereum wallet” zoekopdrachten zat, zelfs terwijl er meldingen over verdachte gedragingen circuleerden op Reddit en Telegram.
Het succes van “Safery” was afhankelijk van de rangschikkingslogica van Chrome. Het zoekalgoritme van de Web Store weegt keyword-overeenkomsten, installatietellingen, review-snelheid, gemiddelde beoordeling en recentheid van updates. Extensies met een uitbarsting van activiteit, vooral in nichecategorieën, kunnen snel stijgen als beter geanalyseerde concurrenten niet regelmatig worden bijgewerkt. In dit geval had “Safery” een naam die goed scoorde in veelvoorkomende zoekopdrachten, een explosie van positieve reviews — waarvan veel standaard of gedupliceerd waren — en een recente uploaddatum.
Er is geen bewijs dat Google deze vermelding handmatig heeft beoordeeld voordat deze werd gepubliceerd. Het beleid van de Chrome Web Store behandelt de meeste nieuwe extensies met een korte geautomatiseerde scan en fundamentele statische analyses. Extensies ondergaan diepere controles wanneer zij verhoogde machtigingen aanvragen, zoals toegang tot tabbladen, klembord, bestandssystemen of geschiedenis. Wallet-extensies ontwijken vaak deze vlaggen door binnen iframes te opereren of goedgekeurde API’s te gebruiken. “Safery” bleef binnen deze kaders.
Zelfs wanneer gebruikers zorgen uitten, was de tijd tussen rapporteren en verwijderen lang genoeg om schade aan te richten. Een deel van die vertraging is structureel: Chrome handelt niet direct bij gemelde extensies, tenzij er een overweldigend consensus of bekende malwarehandtekeningen zijn. In dit geval was de payload obfuscate JavaScript die afhankelijk was van blockchain-infrastructuur, niet van externe hosts. Traditionele malwaredetectiemethoden vangen het niet.
Dit is niet de eerste keer dat Chrome-extensies zijn gebruikt om crypto te stelen. Eerdere oplichtingen omvatten valse Ledger Live-apps die gebruikers vroegen hun herstelzinnen in te voeren, of gekaapte legitieme extensies die aanvallers toegang gaven tot de publicatiesleutel van de ontwikkelaar. Wat “Safery” verschillend maakt is de gladheid van de façade en de afwezigheid van backend-infrastructuur. Er was geen phishing-site om af te sluiten, geen server om te blokkeren, slechts één extensie die geheimen overbracht naar een publieke keten en vervolgens verdween.
Gebruikers hadden echter nog enige mogelijkheden voor actie. Als zij snel handelden, konden zij hun blootstelling beperken door seeds te vernieuwen en goedkeuringen voor transacties in te trekken. Socket en anderen boden triage-stappen voor iedereen die de extensie had geïnstalleerd: onmiddellijk verwijderen, alle tokengoedkeuringen intrekken, activa verplaatsen naar een nieuwe wallet via een schoon apparaat, en geassocieerde adressen monitoren. Voor gebruikers die de exfiltratie niet opmerkte of aanzienlijke bedragen in hot wallets hadden opgeslagen, was herstel echter onwaarschijnlijk.
Beveiligingsonderzoekers en ontwikkelaars roepen op tot strengere heuristieken van Chrome zelf. Een voorgesteld oplossingen is om automatisch elke extensie te markeren die UI-elementen bevat die vragen om een 12- of 24-woord zin. Een andere aanpak is om uitgeversattesten te eisen voor wallet-extensies, wat verifieerbaar bewijs levert dat een bepaalde uitgever de codebasis beheert achter een bekend wallet-merk. Ook zijn er oproepen voor strengere inspectie van wallet-gerelateerde machtigingen, zelfs als die geen gevaarlijke toegangspatronen bevatten.
Voor eindgebruikers heeft Socket een praktische checklist voor het beheer van extensies gepubliceerd. Voordat het installeren van een crypto-extensie, dienen gebruikers de geschiedenis van de uitgever te bekijken, de associatie met een bekend project te verifiëren, om het reviewpatroon te inspecteren — vooral uitbarstingen van identieke reviews —, de permissietab te scannen op vage of brede toegang, en links naar echte websites met publieke GitHub-repositories te controleren. Een schone naam en hoge beoordeling zijn niet genoeg.
Deze zaak roept bredere vragen op over de rol van de browser in crypto. Browser wallets zijn populair geworden vanwege hun toegankelijkheid en gebruiksgemak. Ze stellen gebruikers in staat om interactie te hebben met gedecentraliseerde applicaties zonder van platform te wisselen of aparte apps te downloaden. Maar deze toegankelijkheid is gekomen met een prijs: blootstelling. De browser is een hoog risico-omgeving die kwetsbaar is voor manipulatie van extensies, sessie-overname, klembord-scrapers en nu covert blockchain-exfiltratie.
Wallet-ontwikkelaars zullen waarschijnlijk hun distributiemodellen heroverwegen. Sommige teams ontmoedigen al installaties vanuit de Chrome Web Store en geven de voorkeur aan mobiele apps of desktop-binaries. Anderen kunnen waarschuwingen bouwen voor gebruikers die proberen te installeren vanuit onbetrouwbare bronnen. Het kernprobleem blijft: distributie is gefragmenteerd, en de meeste gebruikers weten niet hoe ze een legitieme wallet van een gepolijste kloon kunnen onderscheiden.
De “Safery”-extensie hoefde niet op MetaMask te lijken of als Phantom te vermommen. Het creëerde zijn eigen merk, zaadde valse vertrouwenssignalen en bouwde een onzichtbare achterdeur die de Sui blockchain als koerier gebruikte. Dit zou moeten dwingen tot een heroverweging van hoe vertrouwen wordt vastgesteld in de crypto UX, en hoe dicht bij de kern zelfs casual tools zoals browserextensies werkelijk zijn.
Crypto-gebruikers nemen aan dat Web3 betekent dat ze soevereiniteit en zelfcustodie hebben. Maar in de verkeerde handen is een browser wallet geen kluis; het is een open poort. En Chrome zal niet altijd waarschuwen voordat er iets doorheen glipt
Wat is het probleem met de Safery-extensie?
De Safery-extensie is ontworpen om seed phrases te stelen door deze te coderen in transacties op de Sui blockchain, zonder dat gebruikers zich dit realiseren. Dit maakt het moeilijk te detecteren en te blokkeren, wat resulteert in aanzienlijke verliezen voor slachtoffers.
Hoe kan ik mijn crypto-wallet beschermen tegen dergelijke aanvallen?
Het is cruciaal om alleen extensies van bekende en betrouwbare uitgevers te installeren. Controleer steeds de geschiedenis en reputatie van de ontwikkelaar, let op valse beoordelingen, en wees voorzichtig met de getoonde permissies voordat u een wallet-extensie installeert.
Wat moeten gebruikers doen als ze de Safery-extensie hebben geïnstalleerd?
Gebruikers moeten de extensie onmiddellijk verwijderen, alle eerdere token goedkeuringen intrekken, activa naar een nieuwe, veilige wallet verplaatsen via een schoon apparaat, en de gerelateerde adressen die mogelijk zijn gecompromitteerd, in de gaten houden.
Bitcoin (BTC)
Ethereum (ETH)
XRP (XRP)
