보안업체 코이가 메타마스크, 코인베이스 월렛 등 주류 지갑을 포함해 공식 파이어폭스 브라우저 플러그인 스토어에 40개 이상의 위조 암호화폐 지갑 확장 기능이 등장했다고 밝혔다. 이러한 악성 플러그인은 이벤트 청취 코드를 삽입하여 30자 이상의 입력(주로 니모닉 단어의 경우)을 도용하고 데이터를 공격자의 서버로 다시 전송합니다. 조사 결과 피싱 캠페인은 적어도 2025년 4월부터 진행되고 있으며, 그 배후 그룹은 러시아어 해커로 의심받고 있다.