Фейковое расширение Uniswap+ Pro: $283К через браузерный плагин

«DEX-агрегатор», который опустошил 12 кошельков

Сентябрь 2024. Трейдер из Москвы устанавливает «Uniswap+ Pro Trading» — Chrome-расширение, обещающее «MEV-защиту и 0 % slippage routing». 23 000 загрузок, полированный лендинг. Он подключает основной кошелёк, свапает 40 000 USDC на ETH. Свап проходит. Через два часа весь кошелёк — 283 000 USD в стейблкойнах и majors — исчезает через permits, которые расширение тихо подписало без его участия.

Что реально может вредоносное кошельковое расширение

Расширение с полным доступом к вкладке браузера может: читать каждую страницу включая RPC-запросы кошелька, инжектить скрипт в кошельковые попапы, изменять адрес получателя до того, как MetaMask покажет подтверждение, подписывать транзакции от вашего имени если получило session-key, отправлять заранее построенные Permit-подписи используя кешированные транзакционные данные. Всё это тихо, на фоне нормально выглядящего интерфейса.

Три правила для расширений и денег

• Ни одно расширение не должно иметь доступ к вкладке кошелька. Используйте чистый профиль браузера только с расширением кошелька и AdBlock. Никаких «торговых помощников», «агрегаторов», «MEV-протекторов». Если функция полезна, реальный протокол её поставит.
• У Uniswap нет Chrome-расширения. Как и у 1inch. Как и у Cowswap. Это веб-приложения. Любой листинг «Uniswap Extension» — фейк по определению.
• Аудит установленных расширений раз в месяц. Откройте chrome://extensions. Если не помните, зачем устанавливали — удалите.

Восстановление после компрометации

Переведите каждый актив со всех кошельков, когда-либо подключённых в этом браузере, на свежий, сгенерированный на другом устройстве. Отзовите каждое одобрение на revoke.cash. Переустановите профиль браузера или весь ноутбук, если разрешения у расширения были широкие.

Почему наживка работает

«MEV-защита» и «0 % slippage» — реальные термины DeFi-словаря. Мошенник заимствует язык, чтобы фейк казался профессиональным инструментом. Защита — выучить, что каждый термин реально значит, и заметить: протоколы, которые реально это предлагают (Cowswap, Flashbots Protect), доставляют через веб-интерфейс, не расширения.