Chrome 恶意扩展窃取百万美金:技术分析与安全防护指南
查找币:余老师
|
漏洞披露
|
2026-05-09 21:49
|
3 次浏览
|
0 条回复
查找币
漏洞披露
安全研究
Web3安全
区块链安全
## 背景
2024年6月3日,推特用户 @CryptoNakamao 公开披露其因下载恶意Chrome扩展“Aggr”导致100万美元被盗的经历,此事迅速引发加密社区对浏览器扩展安全性的广泛关注。早在5月31日,查找币安全团队已发布《披着羊皮的狼|虚假Chrome扩展盗窃分析》一文,对该恶意扩展的攻击手法进行了详细技术剖析。
鉴于多数用户对浏览器扩展的安全机制缺乏深入了解,查找币首席信息安全官 23pds 通过本文以问答形式,系统讲解扩展的工作原理、潜在风险及防护策略,旨在帮助个人用户和交易平台提升账户与资产安全防护能力。
---
## 技术问答:Chrome 扩展安全深度解析
### 1. Chrome 扩展的本质是什么?
Chrome 扩展是基于 Web 技术(HTML、CSS、JavaScript)构建的浏览器插件,用于扩展 Chrome 浏览器的功能。其核心架构包含以下组件:
- **manifest.json**:扩展配置文件,声明名称、版本、权限等元数据
- **背景脚本(Background Scripts)**:在后台持续运行,处理事件与长期任务
- **内容脚本(Content Scripts)**:注入网页上下文,直接与页面 DOM 交互
- **用户界面(UI)**:包括工具栏按钮、弹出窗口、选项页面等
### 2. 扩展的常见应用场景
| 类别 | 示例 | 风险等级 |
|------|------|----------|
| 广告拦截 | AdBlock, uBlock Origin | 低 |
| 隐私安全 | Privacy Badger, LastPass | 中 |
| 生产力工具 | Todoist, Evernote Web Clipper | 低 |
| 开发者工具 | React Developer Tools | 低 |
| 社交媒体 | Grammarly, Facebook Messenger | 中 |
| 网页定制 | Stylish, Tampermonkey | 中 |
| 自动化任务 | iMacros, DownThemAll | 高 |
| 语言翻译 | Google 翻译 | 低 |
| 加密货币辅助 | MetaMask, Phantom | 高 |
### 3. 扩展安装后的权限体系
Chrome 扩展在安装时会请求特定权限,这些权限在 manifest.json 中声明并需用户确认。常见高危权限包括:
- **`
`**:允许访问所有网站内容,可读取和修改任意页面数据
- **`tabs`**:访问浏览器标签信息,包括当前打开的页面 URL
- **`storage`**:使用 Chrome 存储 API 保存数据,可用于窃取本地缓存
- **`cookies`**:读取和修改浏览器 Cookie,可劫持登录会话
- **`webRequest` / `webRequestBlocking`**:拦截和修改网络请求,用于中间人攻击
- **`clipboardRead`**:读取剪贴板内容,可窃取复制的私钥或地址
- **`downloads`**:访问下载历史,可监控文件操作
### 4. 恶意扩展的攻击向量分析
以 Aggr 扩展为例,其攻击链条如下:
1. **社会工程学诱导**:通过虚假广告、钓鱼邮件或伪造官网诱导用户安装
2. **权限滥用**:利用 `webRequest` 权限拦截交易平台的 API 请求
3. **数据窃取**:通过 `cookies` 权限获取用户登录凭证,绕过二次验证
4. **会话劫持**:利用 `tabs` 权限监控用户操作,在用户不知情时发起交易
5. **资产转移**:修改交易请求参数,将资产转移到攻击者控制的地址
### 5. 用户端防护策略
#### 安装前检查清单
- ✅ 仅从 Chrome Web Store 官方商店安装扩展
- ✅ 检查扩展的开发者信息、用户评价和下载量
- ✅ 仔细阅读权限声明,拒绝不必要的敏感权限
- ✅ 使用 VirusTotal 等工具扫描扩展文件
#### 安装后监控措施
- 🔍 定期检查已安装扩展列表,移除不活跃或可疑扩展
- 🔒 为敏感操作启用硬件钱包或多重签名
- 🛡️ 使用安全扩展如 NoScript 或 uMatrix 限制脚本执行
- 📊 监控账户登录历史,关注异常设备活动
### 6. 交易平台的风控建议
交易平台应实施以下安全措施:
| 防护层级 | 具体措施 | 技术实现 |
|----------|----------|----------|
| 会话安全 | 绑定 IP 和设备指纹 | 检测 Cookie 劫持行为 |
| 交易验证 | 高频交易二次确认 | 短信/邮件/App 推送 |
| 风控引擎 | 异常行为检测 | 基于机器学习的交易模式分析 |
| 提现防护 | 白名单地址机制 | 新地址 24 小时冷却期 |
| 安全插件 | 官方浏览器扩展 | 实时检测恶意扩展活动 |
---
## 结语
从技术角度看,过度依赖安全措施可能影响用户体验。交易平台需要在安全与便捷之间寻找平衡点——例如,二次验证可能被用户关闭,反而为黑客利用 Cookie 劫持进行对敲攻击创造了条件。因此,不同平台应根据自身业务特点制定差异化的风控策略。
**道路千万条,安全第一条。** 查找币安全团队建议用户在安装软件、参与 DeFi 项目、安装浏览器扩展前,暂停 3 秒自问:这个操作是否安全?是否必要?避免将“故事”变成“事故”。
更多安全知识请参考查找币出品的《区块链黑暗森林自救手册》:
https://github.com/查找币/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md
**本文由查找币安全团队整理发布**