Badacz bezpieczeństwa on-chain ZachXBT zidentyfikował setki portfeli w wielu łańcuchach EVM, z których wyprowadzono niewielkie kwoty, zazwyczaj poniżej 2000 USD na ofiarę, kierowane na jeden podejrzany adres.
Całkowita kwota kradzieży przekroczyła 107 000 USD i nadal rośnie. Przyczyna źródłowa pozostaje nieznana, ale użytkownicy zgłaszali otrzymywanie e-maili phishingowych podszywających się pod obowiązkową aktualizację MetaMask, zawierających logo lisa w czapeczce imprezowej i temat „Szczęśliwego Nowego Roku!".
Atak nastąpił, gdy programiści byli na wakacjach, kanały wsparcia działały w ograniczonym składzie, a użytkownicy przeglądali skrzynki odbiorcze zapełnione noworocznymi promocjami.
Atakujący wykorzystują to okno. Niewielkie kwoty przypadające na ofiarę sugerują, że drainer działa w oparciu o zatwierdzenia kontraktów, a nie pełne skompromitowanie frazy seed w wielu przypadkach, co utrzymuje indywidualne straty poniżej progu, przy którym ofiary natychmiast biją na alarm, ale pozwala atakującemu skalować działania na setki portfeli.
Branża nadal przetwarza oddzielny incydent z rozszerzeniem przeglądarki Trust Wallet, w którym złośliwy kod w rozszerzeniu Chrome v2.68 zebrał klucze prywatne i wyprowadził co najmniej 8,5 miliona USD z 2520 portfeli, zanim Trust Wallet wydał łatkę w wersji v2.69.
Dwa różne exploity, ta sama lekcja: punkty końcowe użytkowników pozostają najsłabszym ogniwem.
Anatomia skutecznego e-maila phishingowego
E-mail phishingowy w stylu MetaMask pokazuje, dlaczego te ataki odnoszą sukces.
Tożsamość nadawcy pokazuje „MetaLiveChain", nazwę, która brzmi niejasno jak związana z DeFi, ale nie ma żadnego powiązania z MetaMask.
Nagłówek e-maila zawiera link do rezygnacji z subskrypcji dla „[email protected]", ujawniając, że atakujący skopiował szablony z legalnych kampanii marketingowych. Treść zawiera logo lisa MetaMask w czapeczce imprezowej, łącząc świąteczną radość z wykreowaną pilnością dotyczącą „obowiązkowej aktualizacji".
Ta kombinacja omija heurystyki, które większość użytkowników stosuje do oczywistych oszustw.
E-mail phishingowy podszywa się pod MetaMask z logo lisa w czapeczce imprezowej, fałszywie twierdząc, że „obowiązkowa" aktualizacja systemu na 2026 rok jest wymagana do dostępu do konta.Oficjalna dokumentacja bezpieczeństwa MetaMask ustanawia jasne zasady. E-maile wsparcia pochodzą tylko ze zweryfikowanych adresów, takich jak [email protected], i nigdy z domen stron trzecich.
Dostawca portfela nie wysyła niechcianych e-maili wymagających weryfikacji lub aktualizacji.
Dodatkowo żaden przedstawiciel nigdy nie poprosi o Sekretną Frazę Odzyskiwania. Jednak te e-maile działają, ponieważ wykorzystują lukę między tym, co użytkownicy wiedzą intelektualnie, a tym, co robią odruchowo, gdy przychodzi oficjalnie wyglądająca wiadomość.
Cztery sygnały ujawniają phishing, zanim nastąpi szkoda.
Po pierwsze, niezgodność marki z nadawcą, ponieważ branding MetaMask od „MetaLiveChain" sygnalizuje kradzież szablonu. Po drugie, wykreowana pilność wokół obowiązkowych aktualizacji, o których MetaMask wyraźnie mówi, że ich nie wyśle.
Po trzecie, docelowe adresy URL, które nie pasują do deklarowanych domen – najechanie kursorem przed kliknięciem ujawnia faktyczny cel. Po czwarte, żądania, które naruszają podstawowe zasady portfela, takie jak proszenie o frazy seed lub monitowanie o podpisy w nieprzejrzystych wiadomościach off-chain.
Przypadek ZachXBT demonstruje mechanikę phishingu podpisów. Ofiary, które kliknęły fałszywy link aktualizacji, prawdopodobnie podpisały zatwierdzenie kontraktu, dając drainerowi pozwolenie na przeniesienie tokenów.
Ten pojedynczy podpis otworzył drzwi do ciągłej kradzieży w wielu łańcuchach. Atakujący wybrał niewielkie kwoty na portfel, ponieważ zatwierdzenia kontraktów często domyślnie mają nieograniczone limity wydatków, ale wyprowadzenie wszystkiego wywołałoby natychmiastowe dochodzenia.
Rozłożenie kradzieży na setki ofiar po 2000 USD każda pozostaje poniżej indywidualnego radaru, jednocześnie kumulując sumy sześciocyfrowe.
Cofanie zatwierdzeń i zmniejszanie promienia rażenia
Po kliknięciu linku phishingowego lub podpisaniu złośliwego zatwierdzenia priorytetem staje się powstrzymanie. MetaMask pozwala teraz użytkownikom przeglądać i cofać uprawnienia tokenów bezpośrednio w MetaMask Portfolio.
Revoke.cash przeprowadza użytkowników przez prosty proces: podłącz portfel, sprawdź zatwierdzenia dla każdej sieci i wyślij transakcje cofające dla niezaufanych kontraktów.
Strona Token Approvals w Etherscan oferuje tę samą funkcjonalność do ręcznego cofania zatwierdzeń ERC-20, ERC-721 i ERC-1155. Te narzędzia mają znaczenie, ponieważ ofiary, które działają szybko, mogą odciąć dostęp drainera, zanim stracą wszystko.
Rozróżnienie między kompromitacją zatwierdzenia a kompromitacją frazy seed określa, czy portfel można uratować. Przewodnik bezpieczeństwa MetaMask stawia twardą granicę: jeśli podejrzewasz, że Twoja Sekretna Fraza Odzyskiwania została ujawniona, natychmiast przestań używać tego portfela.
Utwórz nowy portfel na świeżym urządzeniu, przenieś pozostałe aktywa i traktuj oryginalny seed jako trwale spalony. Cofanie zatwierdzeń pomaga, gdy atakujący ma tylko uprawnienia kontraktu; jeśli Twój seed zniknął, cały portfel musi zostać porzucony.
Chainalysis udokumentował około 158 000 kompromitacji portfeli osobistych dotykających co najmniej 80 000 osób w 2025 roku, nawet gdy całkowita skradziona wartość spadła do około 713 milionów USD.
Straty portfeli osobistych jako udział w całkowitej kradzieży kryptowalut wzrosły z około 10% w 2022 roku do prawie 25% w 2025 roku, zgodnie z danymi Chainalysis.Atakujący uderzają w więcej portfeli po mniejsze kwoty, wzorzec zidentyfikowany przez ZachXBT. Praktyczna implikacja: organizowanie portfeli w celu ograniczenia promienia rażenia ma takie samo znaczenie jak unikanie phishingu.
Pojedynczy skompromitowany portfel nie powinien oznaczać całkowitej utraty portfolio.
Budowanie obrony warstwowej
Dostawcy portfeli wprowadzili funkcje, które powstrzymałyby ten atak, gdyby zostały przyjęte.
MetaMask zachęca teraz do ustawiania limitów wydatków na zatwierdzenia tokenów zamiast akceptowania domyślnych uprawnień „nieograniczonych". Revoke.cash i pulpit Shield De.Fi zalecają traktowanie przeglądów zatwierdzeń jako rutynowej higieny obok korzystania z portfela sprzętowego do długoterminowych zasobów.
MetaMask włącza domyślnie alerty bezpieczeństwa transakcji od Blockaid, oznaczając podejrzane kontrakty przed wykonaniem podpisów.
Incydent z rozszerzeniem Trust Wallet wzmacnia potrzebę obrony warstwowej. Ten exploit ominął decyzje użytkowników, a złośliwy kod w oficjalnej liście Chrome automatycznie zebrał klucze.
Użytkownicy, którzy rozdzielili zasoby między portfele sprzętowe (cold storage), portfele programowe (transakcje ciepłe) i portfele jednorazowe (protokoły eksperymentalne), ograniczyli ekspozycję.
Ten trójwarstwowy model tworzy tarcie, ale tarcie jest celem. E-mail phishingowy, który przechwytuje portfel jednorazowy, kosztuje setki lub kilka tysięcy dolarów. Ten sam atak przeciwko pojedynczemu portfelowi przechowującemu całe portfolio kosztuje pieniądze zmieniające życie.
Drainer ZachXBT odniósł sukces, ponieważ celował w szew między wygodą a bezpieczeństwem. Większość użytkowników trzyma wszystko w jednej instancji MetaMask, ponieważ zarządzanie wieloma portfelami wydaje się uciążliwe.
Atakujący postawił, że profesjonalnie wyglądający e-mail w Nowy Rok zaskoczy wystarczająco dużo osób, aby wygenerować opłacalny wolumen. Ten zakład się opłacił, z 107 000 USD i licząc.
Oficjalne wytyczne MetaMask identyfikują trzy czerwone flagi phishingu: błędne adresy nadawców, niechciane pilne żądania aktualizacji oraz prośby o Sekretne Frazy Odzyskiwania lub hasła.Co jest zagrożone
Ten incydent stawia głębsze pytanie: kto ponosi odpowiedzialność za bezpieczeństwo punktów końcowych w świecie samodzielnego przechowywania?
Dostawcy portfeli budują narzędzia anty-phishingowe, badacze publikują raporty o zagrożeniach, a regulatorzy ostrzegają konsumentów. Jednak atakujący potrzebował tylko fałszywego e-maila, sklonowanego logo i kontraktu drainera, aby skompromitować setki portfeli.
Infrastruktura, która umożliwia samodzielne przechowywanie, transakcje bez zezwolenia, pseudonimowe adresy i nieodwracalne transfery, również czyni ją bezlitosną.
Branża traktuje to jako problem edukacyjny: gdyby użytkownicy weryfikowali adresy nadawców, najeżdżali kursorem na linki i cofali stare zatwierdzenia, ataki by się nie powiodły.
Jednak dane Chainalysis o 158 000 kompromitacji sugerują, że sama edukacja nie skaluje się. Atakujący dostosowują się szybciej, niż użytkownicy się uczą. E-mail phishingowy MetaMask ewoluował od prymitywnych szablonów „Twój portfel jest zablokowany!" do dopracowanych kampanii sezonowych.
Exploit rozszerzenia Trust Wallet udowodnił, że nawet ostrożni użytkownicy mogą stracić środki, jeśli kanały dystrybucji zostaną skompromitowane.
Co działa: portfele sprzętowe dla znaczących zasobów, bezwzględne cofanie zatwierdzeń, segregacja portfeli według profilu ryzyka i sceptycyzm wobec wszelkich niechcianych wiadomości od dostawców portfeli.
Co nie działa: zakładanie, że interfejsy portfeli są domyślnie bezpieczne, traktowanie zatwierdzeń jako jednorazowych decyzji lub konsolidowanie wszystkich aktywów w jednym gorącym portfelu dla wygody. Drainer ZachXBT zostanie zamknięty, ponieważ adres jest oznaczony, a giełdy zamrożą depozyty.
Ale inny drainer zostanie uruchomiony w przyszłym tygodniu z nieco innym szablonem i nowym adresem
kontraktu.
Cykl trwa, dopóki użytkownicy nie zinternalizują, że wygoda kryptowalut tworzy powierzchnię ataku, która ostatecznie zostaje wykorzystana. Wybór nie jest między bezpieczeństwem a użytecznością, ale raczej między tarciem teraz a stratą później.
Źródło: https://cryptoslate.com/hundreds-of-evm-wallets-drained-what-to-check-before-you-update/
