«DEX-агрегатор», що спустошив 12 гаманців
Вересень 2024. Трейдер з Києва встановлює «Uniswap+ Pro Trading» — Chrome-розширення, яке обіцяє «MEV-захист і 0 % slippage routing». 23 000 завантажень, полірований лендинг. Він підключає основний гаманець, свапає 40 000 USDC на ETH. Свап проходить. Через дві години весь гаманець — 283 000 USD у стейблкоїнах і majors — зникає через permits, які розширення тихо підписало без його участі.
Що реально може шкідливе гаманцеве розширення
Розширення з повним доступом до вкладки браузера може: читати кожну сторінку включно з RPC-запитами гаманця, інжектити скрипт у гаманцеві попапи, змінювати адресу отримувача до того, як MetaMask покаже підтвердження, підписувати транзакції від вашого імені якщо отримало session-key, надсилати заздалегідь побудовані Permit-підписи використовуючи кешовані транзакційні дані. Все це тихо, на фоні нормально виглядаючого інтерфейсу.
Три правила для розширень і грошей
- Жодне розширення не повинно мати доступ до вкладки гаманця. Використовуйте чистий профіль браузера лише з розширенням гаманця та AdBlock. Жодних «торгових помічників», «агрегаторів», «MEV-протекторів».
- У Uniswap немає Chrome-розширення. Як і у 1inch. Як і у Cowswap. Це веб-застосунки. Будь-який лістинг «Uniswap Extension» — фейк за визначенням.
- Аудит встановлених розширень раз на місяць. Відкрийте
chrome://extensions. Якщо не пам'ятаєте, навіщо встановлювали — видаліть.
Відновлення після компрометації
Переведіть кожен актив з усіх гаманців, коли-небудь підключених у цьому браузері, на свіжий, згенерований на іншому пристрої. Відкличте кожне схвалення на revoke.cash. Перевстановіть профіль браузера або весь ноутбук, якщо дозволи в розширення були широкі.
Чому приманка працює
«MEV-захист» і «0 % slippage» — реальні терміни DeFi-словника. Шахрай позичає мову, щоб фейк здавався професійним інструментом. Захист — вивчити, що кожен термін реально означає, і помітити: протоколи, що реально це пропонують (Cowswap, Flashbots Protect), доставляють через веб-інтерфейс, не розширення.