SlowMist ostrzega przed wyrafinowanym oszustwem 2FA wymierzonym w portfele MetaMask

Dyrektor ds. Bezpieczeństwa SlowMist "23pds" wydał pilne ostrzeżenie o nowym oszustwie phishingowym wymierzonym w użytkowników MetaMask za pośrednictwem fałszywych stron weryfikacji uwierzytelniania dwuskładnikowego zaprojektowanych w celu kradzieży fraz odzyskiwania portfeli.

Zaawansowany atak naśladuje interfejs bezpieczeństwa MetaMask, używając sfałszowanych nazw domen, które bardzo przypominają legalną platformę, wprowadzając użytkowników w błąd, by uwierzyli, że wykonują standardowe procedury bezpieczeństwa, podczas gdy przekazują krytyczne dane dostępowe do portfela.

Oszustwo działa poprzez wiele zwodniczych etapów, które wykorzystują zaufanie użytkowników do protokołów bezpieczeństwa.

Atakujący tworzą fałszywe domeny, takie jak "mertamask" zamiast "metamask" i przekierowują ofiary na przekonujące strony alertów bezpieczeństwa, które wyglądają autentycznie.

Użytkownicy następnie napotykają pozornie standardowy ekran weryfikacji 2FA, kompletny z licznikami czasu i realistycznymi przypomnieniami o bezpieczeństwie, co buduje fałszywe zaufanie, zanim ostatni krok prosi o ich frazę seed pod pretekstem ukończenia uwierzytelnienia.

Nowy Wektor Ataku Pojawia się w Miarę Ewolucji Taktyk Phishingowych

Choć ogólne straty z phishingu gwałtownie spadły w 2025 roku, a ataki opróżniające portfele zmniejszyły się o 83% do 83,85 miliona dolarów z prawie 494 milionów dolarów w poprzednim roku, atakujący nadal dostosowują swoje metody.

Według raportu Cryptonews liczba dotkniętych użytkowników spadła do około 106 000, co stanowi 68% spadek rok do roku.

Jednak zaawansowane operacje, takie jak oszustwo MetaMask 2FA, pokazują, że sprawcy zagrożeń nadal doskonalą taktyki inżynierii społecznej, nawet gdy łączne straty spadają.

Aktywność phishingowa była ściśle powiązana z szerszymi cyklami rynkowymi przez cały 2025 rok, przy czym trzeci kwartał odnotował najwyższe straty na poziomie 31 milionów dolarów podczas najsilniejszego wzrostu Ethereum.

Same sierpień i wrzesień odpowiadały za prawie 29% całkowitych rocznych strat, wzmacniając to, co eksperci ds. bezpieczeństwa postrzegają jako phishing działający jako "funkcja prawdopodobieństwa aktywności użytkowników", gdzie wyższe wolumeny transakcji zwiększają pulę potencjalnych ofiar.

Największy pojedynczy incydent roku dotyczył kradzieży 6,5 miliona dolarów we wrześniu związanej ze złośliwym podpisem Permit.

Zatwierdzenia Permit i Permit2 pozostały najbardziej efektywnymi wektorami ataku, odpowiadając za 38% strat w przypadkach przekraczających 1 milion dolarów, podczas gdy nowe wektory ataku pojawiły się po aktualizacji Ethereum Pectra.

Atakujący zaczęli nadużywać złośliwych podpisów opartych na EIP-7702, które umożliwiają połączenie wielu szkodliwych działań w jedno zatwierdzenie użytkownika, prowadząc do dwóch takich incydentów w sierpniu, które skutkowały stratami w wysokości 2,54 miliona dolarów.

Pomimo ogólnego spadku, atakujący zmienili strategie z napadów na dużą skalę na masowe kampanie detaliczne, z tylko 11 przypadkami przekraczającymi 1 milion dolarów w 2025 roku w porównaniu z 30 w poprzednim roku.

Średnia strata na ofiarę spadła do 790 dolarów, wskazując na szersze skupienie się na użytkownikach detalicznych, a nie pojedynczych głośnych kradzieżach.

Ostatnie skoordynowane ataki opróżniły setki portfeli w sieciach kompatybilnych z EVM, przy indywidualnych stratach zwykle poniżej 2 000 dolarów na adres.

Branża Mobilizuje Sieci Obronne Przeciwko Trwałym Zagrożeniom

Główni dostawcy portfeli, w tym MetaMask, Phantom, WalletConnect i Backpack, uruchomili globalną sieć obrony przed phishingiem poprzez partnerstwo z Security Alliance (SEAL), tworząc to, co określają jako "zdecentralizowany system immunologiczny" do identyfikacji zagrożeń w czasie rzeczywistym.

System pozwala każdemu na świecie składać weryfikowalne raporty phishingowe, które są automatycznie weryfikowane i transmitowane do wszystkich uczestniczących portfeli, umożliwiając szybsze czasy reakcji i potencjalnie ratując więcej środków.

"Drainery to ciągła gra w kotka i myszkę," powiedział badacz bezpieczeństwa MetaMask, Ohm Shah. "Partnerstwo z SEAL pozwala deweloperom portfeli działać szybciej i rzucać kłody pod nogi infrastrukturze drainerów."

Działania obronne opierają się na narzędziu weryfikowalnych raportów phishingowych SEAL, które pozwala badaczom bezpieczeństwa udowodnić, że zgłoszone strony faktycznie hostują treści phishingowe.

Poza exploitami technicznymi, technologia deepfake stała się kolejnym wektorem zagrożeń, przy czym współzałożyciel Manta Network, Kenny Li, ujawnił w kwietniu, że był celem zaawansowanej rozmowy Zoom wykorzystującej wcześniej nagrane filmy znanych osób.

Atakujący próbowali nakłonić go do pobrania złośliwych plików skryptowych przebranych za aktualizacje Zoom, przy czym Li podejrzewał zaangażowanie powiązanej z Koreą Północną grupy Lazarus.

Tymczasem straty związane z kryptowalutami z haków i exploitów cyberbezpieczeństwa spadły w grudniu o 60% do około 76 milionów dolarów, w porównaniu ze 194,2 miliona dolarów w listopadzie.

Jednak eksperci ds. bezpieczeństwa ostrzegają, że trwałe zagrożenia, takie jak oszustwa typu address-poisoning i exploity portfeli przeglądarki, nadal celują w użytkowników w całym ekosystemie.