一個名為「Safepal Wallet」的惡意 Firefox 擴充程式在過去清空了使用者的加密貨幣錢包，並在 Firefox 擴充程式商店中存活了七個月。

Safepal 本身是一家加密貨幣錢包公司，協助使用者管理各種電子資產，如比特幣、以太坊和萊特幣。除了製造硬體的加密貨幣錢包外，也開發了Android 與 iOS 系統可用的 Safepal 行動程式，不過 Safepal 並未打造瀏覽器擴充程式。

一位名為 Cali 的 Firefox 用戶在 Firefox 的論壇中寫下，他在 Firefox 的擴充程式商店下載 Safepal 的擴充程式，但在安裝幾小時後他發現，他的加密貨幣錢包從原本的 4,000 美元直接降為 0 元。

根據 Bleeping Computer 的調查，此擴充程式至少自 2021 年 2 月 16 日起就已上架。這個 235 KB 的擴充程式自稱是一個 Safepal 應用程序，可以安全地「在地化保存私鑰」，並且還附有令人信服的產品圖片和營銷材料。要在 Firefox 的網站上發佈擴充程式，開發人員必須遵循提交過程，聲明提交的擴充程式「隨時接受 Firefox 的審查」。但是，目前尚不清楚 Firefox 的安全審查程度。在Cali 公開此事件後的五天，Firefox 發言人回應稱他們正在調查，並且此擴充程式的頁面已被 Firefox 刪除。

從還沒被刪除前的頁面可以看出，除了 Cali 以外，還有一些受害者，並且也在下載頁面上留下了警告評論，不過顯然 Cali 在下載前沒有看好評論。Cali 表示，在報警以後，警方表示對這種狀況也無能為力，因為他們也無法追蹤駭走資金的駭客動向。

惡意 Safepal 的網絡釣魚網站
Bleeping Computer 發現，儘管惡意 Safepal 的擴充程式頁面已經被移除，但它的網絡釣魚頁面依然存在，且這個頁面先前也被放在 Firefox 的擴充程式主頁上，駭客將其描述為技術支持頁面（support site）的連結。

WHOIS 記錄顯示，這個釣魚網站於今年 1 月通過 Namecheap 註冊，且網頁仍處於活動狀態，並指示用戶按正確的順序輸入他們的「Recovery Phrase」（助字詞）以配對 SafePal 錢包。但是，一旦用戶輸入了 Recovery Phrase 並提交了，頁面就會刷新而沒有任何明顯的響應，Recovery Phrase 也會被悄悄地發送給攻擊者。

加密貨幣錢包與許多在線服務一樣，使用由 12 個隨機生成的單詞組成的助字詞，如果用戶忘記密碼，助字詞可用於恢復用戶的私鑰和錢包。但是助字詞必須要保密，旨在特殊情況下使用，並且只能在信任的 App 或網站上使用。因為被盜的助字詞可以讓攻擊者控制加密貨幣錢包，訪問和轉移資金。

隨著近來的加密貨幣詐騙越來越多，用戶在提供 Recovery Phrase 或是在線傳輸加密貨幣時更應該小心，若是要下載任何與加密貨幣相關的應用或擴充程式，也可先觀察評論，以免發生像 Cali 一樣的詐騙事故。

參考資料：
https://www.ithome.com.tw/news/146938
https://www.bleepingcomputer.com/news/security/malicious-safepal-wallet-firefox-add-on-stole-cryptocurrency/