Как даже опытный Ethereum-разработчик лишился средств: разбор атаки через вредоносное расширение

Что произошло

Core-разработчик Ethereum Зак Коул лишился части средств из-за вредоносного AI-расширения для Cursor.
Плагин contractshark.solidity-lang выглядел как полноценный инструмент:
— аккуратная иконка,
— хорошее описание,
— более 54 000 установок.

Однако в коде был встроен функционал, считывающий .env-файл и отправляющий приватный ключ на сервер атакующего. Это дало злоумышленнику доступ к горячему кошельку разработчика на три дня.

Потери оказались незначительными — «пара сотен долларов» в ETH, так как горячие кошельки использовались для тестов, а основные активы хранились на холодных.

Рост активности крипто-дрейнеров

• В сентябре 2024 года поддельный WalletConnect в Google Play 5 месяцев воровал активы, похитив более $70 000.

• Мошенники часто маскируют вредоносные расширения под полезные утилиты и используют typosquatting (похожие названия) для кражи ключей.

Как снизить риски (по данным Cyvers Security)

• Проверяйте издателей и репутацию расширений.

• Не храните приватные данные в открытом виде или в .env.

• Работайте в изолированных средах.

• Для хранения средств используйте аппаратные кошельки.

Дрейнеры как сервис
По данным AMLBot, подобные инструменты уже продаются по модели SaaS. Стоимость аренды начинается от $100 USDT, что делает их доступными даже для новичков в киберпреступности.

📌 Вывод: даже опытные специалисты могут попасть в ловушку, если игнорировать базовые правила безопасности. В DeFi любая неподтверждённая транзакция или установка ПО без проверки — потенциальный путь к потере средств.