Setki portfeli MetaMask opróżnionych: Co sprawdzić przed „aktualizacją"

Badacz bezpieczeństwa on-chain ZachXBT zgłosił setki portfeli w wielu sieciach EVM, które zostały opróżnione z niewielkich kwot, zwykle poniżej 2 000 USD na ofiarę, przekierowywanych na jeden podejrzany adres.

Łączna wartość kradzieży przekroczyła 107 000 USD i wciąż rosła. Przyczyna źródłowa pozostaje nieznana, ale użytkownicy zgłaszali otrzymanie phishingowego e-maila przebranego za obowiązkową aktualizację MetaMask, wraz z logo lisa w kapeluszu imprezowym i tematem „Szczęśliwego Nowego Roku!".

Atak nastąpił, gdy programiści byli na wakacjach, kanały wsparcia działały w minimalnym składzie, a użytkownicy przeglądali skrzynki odbiorcze zaśmiecone promocjami noworocznymi.

Atakujący wykorzystują to okno. Niewielkie kwoty na ofiarę sugerują, że opróżniacz działa na podstawie zatwierdzenia kontraktów, a nie pełnego skompromitowania frazy seed w wielu przypadkach, co utrzymuje indywidualne straty poniżej progu, przy którym ofiary natychmiast podnosłyby alarm, ale pozwala atakującemu skalować się na setki portfeli.

Branża wciąż przetwarza oddzielny incydent z rozszerzeniem przeglądarki Trust Wallet, w którym złośliwy kod w rozszerzeniu Chrome w wersji 2.68 zebrał klucze prywatne i opróżnił co najmniej 8,5 miliona USD z 2 520 portfeli, zanim Trust Wallet załatał do wersji 2.69.

Dwa różne exploity, ta sama lekcja: punkty końcowe użytkownika pozostają najsłabszym ogniwem.

Anatomia działającego phishingowego e-maila

Phishingowy e-mail w stylu MetaMask demonstruje, dlaczego te ataki odnoszą sukces.

Tożsamość nadawcy pokazuje „MetaLiveChain", nazwę, która brzmi mgliście związana z DeFi, ale nie ma żadnego związku z MetaMask.

Nagłówek e-maila zawiera link do rezygnacji z subskrypcji dla „reviews@yotpo.com", ujawniając, że atakujący podniósł szablony z legalnych kampanii marketingowych. Treść zawiera logo lisa MetaMask w kapeluszu imprezowym, łącząc sezonową radość ze sztuczną pilnością dotyczącą „obowiązkowej aktualizacji".

Ta kombinacja omija heurystykę, którą większość użytkowników stosuje do oczywistych oszustw.

Oficjalna dokumentacja bezpieczeństwa MetaMask ustanawia jasne zasady. E-maile wsparcia pochodzą tylko ze zweryfikowanych adresów, takich jak support@metamask.io, i nigdy z domen zewnętrznych.

Dostawca portfela nie wysyła niechcianych e-maili wymagających weryfikacji lub aktualizacji.

Dodatkowo żaden przedstawiciel nigdy nie poprosi o Frazę Odzyskiwania Tajnego. Te e-maile działają, ponieważ wykorzystują lukę między tym, co użytkownicy wiedzą intelektualnie, a tym, co robią odruchowo, gdy nadejdzie oficjalnie wyglądająca wiadomość.

Cztery sygnały ujawniają phishing, zanim wystąpi szkoda.

Po pierwsze, niezgodność marki z nadawcą, ponieważ branding MetaMask od „MetaLiveChain" sygnalizuje kradzież szablonu. Po drugie, sztuczna pilność dotycząca obowiązkowych aktualizacji, których MetaMask wyraźnie mówi, że nie będzie wysyłać.

Po trzecie, docelowe adresy URL, które nie pasują do deklarowanych domen, najechanie przed kliknięciem ujawnia rzeczywisty cel. Po czwarte, żądania naruszające podstawowe zasady portfela, takie jak proszenie o frazy seed lub proszenie o podpisy w nieprzejrzystych wiadomościach off-chain.

Sprawa ZachXBT demonstruje mechanikę phishingu podpisów. Ofiary, które kliknęły fałszywy link aktualizacji, prawdopodobnie podpisały zatwierdzenie kontraktu, przyznając opróżniaczowi pozwolenie na przeniesienie tokenów.

Ten pojedynczy podpis otworzył drzwi do trwającej kradzieży w wielu sieciach. Atakujący wybrał niewielkie kwoty na portfel, ponieważ zatwierdzenia kontraktów często zawierają domyślnie nieograniczone limity wydatków, ale opróżnienie wszystkiego spowodowałoby natychmiastowe dochodzenia.

Rozłożenie kradzieży na setki ofiar po 2 000 USD każda przelatuje pod indywidualnym radarem, jednocześnie gromadząc kwoty sześciocyfrowe.

Cofanie zatwierdzeń i zmniejszanie promienia wybuchu

Po kliknięciu linku phishingowego lub podpisaniu złośliwego zatwierdzenia priorytetem staje się ograniczenie. MetaMask pozwala teraz użytkownikom przeglądać i cofać limity tokenów bezpośrednio w MetaMask Portfolio.

Revoke.cash prowadzi użytkowników przez prosty proces: podłącz swój portfel, sprawdź zatwierdzenia na sieć i wyślij transakcje cofające dla niezaufanych kontraktów.

Strona Token Approvals Etherscan oferuje taką samą funkcjonalność do ręcznego cofania zatwierdzeń ERC-20, ERC-721 i ERC-1155. Te narzędzia są ważne, ponieważ ofiary, które działają szybko, mogą odciąć dostęp opróżniacza, zanim wszystko stracą.

Rozróżnienie między kompromitacją zatwierdzenia a kompromitacją frazy seed określa, czy portfel można uratować. Przewodnik bezpieczeństwa MetaMask wyznacza twardą granicę: jeśli podejrzewasz, że Twoja Fraza Odzyskiwania Tajnego została ujawniona, natychmiast przestań używać tego portfela.

Utwórz nowy portfel na świeżym urządzeniu, przenieś pozostałe aktywa i traktuj oryginalny seed jako trwale spalony. Cofanie zatwierdzeń pomaga, gdy atakujący posiada tylko uprawnienia kontraktowe; jeśli twój seed zaginął, cały portfel musi zostać porzucony.

Chainalysis udokumentował około 158 000 kompromitacji osobistych portfeli dotykających co najmniej 80 000 osób w 2025 r., mimo że całkowita wartość ukradziona spadła do około 713 milionów USD.

Atakujący trafiają w więcej portfeli po mniejsze kwoty, wzorzec zidentyfikowany przez ZachXBT. Praktyczna implikacja: organizowanie portfeli w celu ograniczenia promienia wybuchu ma takie samo znaczenie, jak unikanie phishingu.

Pojedynczy skompromitowany portfel nie powinien oznaczać całkowitej utraty portfela.

Budowanie obrony w głąb

Dostawcy portfeli dostarczyli funkcje, które powstrzymałyby ten atak, gdyby zostały przyjęte.

MetaMask zachęca teraz do ustawiania limitów wydatków na zatwierdzenia tokenów, zamiast akceptowania domyślnych „nieograniczonych" uprawnień. Revoke.cash i pulpit De.Fi Shield zalecają traktowanie przeglądów zatwierdzeń jako rutynowej higieny obok używania portfela sprzętowego do długoterminowych zasobów.

MetaMask domyślnie włącza alerty bezpieczeństwa transakcji od Blockaid, oznaczając podejrzane kontrakty przed wykonaniem podpisów.

Incydent z rozszerzeniem Trust Wallet wzmacnia potrzebę obrony w głąb. Ten exploit ominął decyzje użytkowników, a złośliwy kod w oficjalnym wykazie Chrome automatycznie zbierał klucze.

Użytkownicy, którzy oddzielili zasoby między portfele sprzętowe (przechowywanie na zimno), portfele oprogramowania (ciepłe transakcje) i portfele jednorazowe (protokoły eksperymentalne) ograniczyli ekspozycję.

Ten trójpoziomowy model tworzy tarcie, ale tarcie jest celem. Phishingowy e-mail, który przechwytuje portfel jednorazowy, kosztuje setki lub kilka tysięcy dolarów. Ten sam atak przeciwko pojedynczemu portfelowi zawierającemu cały portfel kosztuje pieniądze zmieniające życie.

Opróżniacz ZachXBT odniósł sukces, ponieważ celował w szew między wygodą a bezpieczeństwem. Większość użytkowników przechowuje wszystko w jednej instancji MetaMask, ponieważ zarządzanie wieloma portfelami wydaje się uciążliwe.

Atakujący postawił, że profesjonalnie wyglądający e-mail w Nowy Rok złapie wystarczająco dużo ludzi na niespodziankę, aby wygenerować opłacalną wielkość. Ten zakład się opłacił, z 107 000 USD i dalej rosnące.

Co jest na szali

Ten incydent stawia głębsze pytanie: kto ponosi odpowiedzialność za bezpieczeństwo punktów końcowych w świecie samodzielnego przechowywania?

Dostawcy portfeli budują narzędzia anty-phishingowe, badacze publikują raporty o zagrożeniach, a regulatorzy ostrzegają konsumentów. Jednak atakujący potrzebował tylko fałszywego e-maila, sklonowanego logo i kontraktu opróżniacza, aby skompromitować setki portfeli.

Infrastruktura, która umożliwia samodzielne przechowywanie, transakcje bez zezwolenia, pseudonimowe adresy i nieodwracalne transfery, również czyni ją niewyrozumiałą.

Branża traktuje to jako problem edukacyjny: gdyby użytkownicy weryfikowali adresy nadawców, najechali na linki i cofali stare zatwierdzenia, ataki by nie powiodły się.

Jednak dane Chainalysis dotyczące 158 000 kompromitacji sugerują, że sama edukacja nie skaluje się. Atakujący dostosowują się szybciej niż uczą się użytkownicy. Phishingowy e-mail MetaMask ewoluował od surowych szablonów „Twój portfel jest zablokowany!" do dopracowanych kampanii sezonowych.

Exploit rozszerzenia Trust Wallet udowodnił, że nawet ostrożni użytkownicy mogą stracić środki, jeśli kanały dystrybucji zostaną skompromitowane.

Co działa: portfele sprzętowe dla znaczących zasobów, bezwzględne cofanie zatwierdzeń, segregacja portfeli według profilu ryzyka i sceptycyzm wobec wszelkich niechcianych wiadomości od dostawców portfeli.

Co nie działa: zakładanie, że interfejsy portfeli są domyślnie bezpieczne, traktowanie zatwierdzeń jako jednorazowych decyzji lub konsolidowanie wszystkich aktywów w jednym gorącym portfelu dla wygody. Opróżniacz ZachXBT zostanie zamknięty, ponieważ adres jest oznaczony, a giełdy zamrożą depozyty.

Ale kolejny opróżniacz uruchomi się w przyszłym tygodniu z nieco innym szablonem i nowym adresem
kontraktu.

Cykl trwa, dopóki użytkownicy nie zinternalizują, że wygoda kryptowaluty tworzy powierzchnię ataku, która w końcu jest wykorzystywana. Wybór nie jest między bezpieczeństwem a użytecznością, ale raczej między tarciem teraz a stratą później.

Post Setki portfeli MetaMask opróżnionych: co sprawdzić przed „aktualizacją" pojawił się po raz pierwszy na CryptoSlate.