Sute de portofele MetaMask golite: Ce să verifici înainte de a 'actualiza'

Cercetătorul de securitate on-chain ZachXBT a semnalat sute de portofele pe mai multe lanțuri EVM care au fost golite pentru sume mici, de obicei sub 2.000 de dolari per victimă, canalizate către o singură adresă suspectă.

Totalul furtului a depășit 107.000 de dolari și a continuat să crească. Cauza principală este încă necunoscută, dar utilizatorii au raportat primirea unui e-mail de phishing deghizat ca o actualizare obligatorie MetaMask, complet cu logo-ul vulpii cu pălărie de petrecere și o linie de subiect „La mulți ani!".

Acest atac a sosit când dezvoltatorii erau în vacanță, canalele de asistență funcționau cu echipe reduse, iar utilizatorii derulau prin inbox-uri aglomerate cu promoții de Anul Nou.

Atacatorii exploatează acea fereastră. Sumele mici per victimă sugerează că drainer-ul funcționează pe baza aprobărilor de contracte mai degrabă decât pe compromiterea completă a seed-phrase-ului în multe cazuri, ceea ce menține pierderile individuale sub pragul la care victimele dau imediat alarma, dar permite atacatorului să se extindă la sute de portofele.

Industria încă procesează un incident separat al extensiei de browser Trust Wallet, în care codul rău intenționat din extensia Chrome v2.68 a colectat chei private și a golit cel puțin 8,5 milioane de dolari din 2.520 de portofele înainte ca Trust Wallet să remedieze la v2.69.

Două exploatări diferite, aceeași lecție: punctele finale ale utilizatorilor rămân veriga cea mai slabă.

Anatomia unui e-mail de phishing care funcționează

E-mailul de phishing cu tema MetaMask demonstrează de ce reușesc aceste atacuri.

Identitatea expeditorului arată „MetaLiveChain", un nume care sună vag adiacent DeFi, dar nu are nicio legătură cu MetaMask.

Antetul e-mailului conține un link de dezabonare pentru „reviews@yotpo.com", dezvăluind că atacatorul a preluat șabloane din campanii legitime de marketing. Corpul prezintă logo-ul vulpii MetaMask purtând o pălărie de petrecere, îmbinând veselia sezonieră cu urgența fabricată despre o „actualizare obligatorie".

Acea combinație ocolește euristicile pe care majoritatea utilizatorilor le aplică la escrocherii evidente.

Documentația oficială de securitate MetaMask stabilește reguli clare. E-mailurile de asistență provin doar de la adrese verificate, cum ar fi support@metamask.io, și niciodată de la domenii terțe.

Furnizorul de portofel nu trimite e-mailuri nesolícitate care cer verificare sau actualizări.

În plus, niciun reprezentant nu va solicita vreodată o Frază Secretă de Recuperare. Totuși, aceste e-mailuri funcționează pentru că exploatează decalajul dintre ceea ce utilizatorii știu intelectual și ceea ce fac în mod reflex când sosește un mesaj cu aspect oficial.

Patru semnale expun phishing-ul înainte ca pagubele să apară.

În primul rând, nepotrivirea brand-expeditor, deoarece branding-ul MetaMask de la „MetaLiveChain" semnalează furtul de șablon. În al doilea rând, urgența fabricată în jurul actualizărilor obligatorii pe care MetaMask spune explicit că nu le va trimite.

În al treilea rând, URL-uri de destinație care nu se potrivesc cu domeniile pretinse, plasarea cursorului înainte de a face clic dezvăluie ținta reală. În al patrulea rând, solicitări care încalcă regulile de bază ale portofelului, cum ar fi solicitarea de seed phrases sau solicitarea de semnături pe mesaje off-chain opace.

Cazul ZachXBT demonstrează mecanica phishing-ului de semnătură. Victimele care au făcut clic pe linkul fals de actualizare au semnat probabil o aprobare de contract care acordă drainer-ului permisiunea de a muta token-uri.

Acea singură semnătură a deschis ușa furtului continuu pe mai multe lanțuri. Atacatorul a ales sume mici per portofel deoarece aprobările de contracte poartă adesea limite de cheltuieli nelimitate în mod implicit, dar golirea totală ar declanșa investigații imediate.

Răspândirea furtului pe sute de victime la 2.000 de dolari fiecare zboară sub radarul individual, acumulând în același timp totaluri de șase cifre.

Revocarea aprobărilor și reducerea razei de explozie

Odată ce se face clic pe un link de phishing sau se semnează o aprobare rău intenționată, prioritatea se mută la izolare. MetaMask permite acum utilizatorilor să vizualizeze și să revoce alocările de token-uri direct în MetaMask Portfolio.

Revoke.cash ghidează utilizatorii printr-un proces simplu: conectați-vă portofelul, inspectați aprobările per rețea și trimiteți tranzacții de revocare pentru contracte nedemne de încredere.

Pagina Token Approvals a Etherscan oferă aceeași funcționalitate pentru revocarea manuală a aprobărilor ERC-20, ERC-721 și ERC-1155. Aceste instrumente contează deoarece victimele care acționează rapid ar putea întrerupe accesul drainer-ului înainte de a pierde totul.

Distincția dintre compromiterea aprobării și compromiterea seed-phrase-ului determină dacă un portofel poate fi salvat. Ghidul de securitate MetaMask trasează o linie dură: dacă suspectați că Fraza dvs. Secretă de Recuperare a fost expusă, opriți imediat utilizarea acelui portofel.

Creați un portofel nou pe un dispozitiv nou, transferați activele rămase și tratați seed-ul original ca fiind ars permanent. Revocarea aprobărilor ajută când atacatorul deține doar permisiuni de contract; dacă seed-ul dvs. a dispărut, întregul portofel trebuie abandonat.

Chainalysis a documentat aproximativ 158.000 de compromitări de portofele personale care afectează cel puțin 80.000 de persoane în 2025, chiar dacă valoarea totală furată a scăzut la aproximativ 713 milioane de dolari.

Atacatorii lovesc mai multe portofele pentru sume mai mici, modelul pe care ZachXBT l-a identificat. Implicația practică: organizarea portofelelor pentru a limita raza de explozie contează la fel de mult ca evitarea phishing-ului.

Un singur portofel compromis nu ar trebui să însemne pierderea totală a portofoliului.

Construirea apărării în profunzime

Furnizorii de portofele au livrat funcții care ar fi conținut acest atac dacă ar fi fost adoptate.

MetaMask încurajează acum stabilirea limitelor de cheltuieli la aprobările de token-uri mai degrabă decât acceptarea permisiunilor implicite „nelimitate". Revoke.cash și tabloul de bord Shield al De.Fi susțin că revizuirile aprobărilor trebuie tratate ca igienă de rutină alături de utilizarea portofelului hardware pentru dețineri pe termen lung.

MetaMask activează alertele de securitate ale tranzacțiilor de la Blockaid în mod implicit, semnalând contracte suspecte înainte ca semnăturile să fie executate.

Incidentul extensiei Trust Wallet întărește nevoia de apărare în profunzime. Acea exploatare a ocolit deciziile utilizatorilor, iar codul rău intenționat dintr-o listă oficială Chrome a recoltat automat chei.

Utilizatorii care au separat deținerile în portofele hardware (stocare la rece), portofele software (tranzacții calde) și portofele burner (protocoale experimentale) au limitat expunerea.

Acel model pe trei niveluri creează frecare, dar frecarea este scopul. Un e-mail de phishing care capturează un portofel burner costă sute sau câteva mii de dolari. Același atac împotriva unui singur portofel care deține un portofoliu întreg costă bani care schimbă viața.

Drainer-ul ZachXBT a reușit pentru că a vizat cusătura dintre comoditate și securitate. Majoritatea utilizatorilor păstrează totul într-o singură instanță MetaMask pentru că gestionarea mai multor portofele se simte greoaie.

Atacatorul a pariat că un e-mail cu aspect profesional de Anul Nou ar prinde suficienți oameni nepregătiți pentru a genera volum profitabil. Acel pariu a dat roade, cu 107.000 de dolari și în creștere.

Ce este în joc

Acest incident ridică o întrebare mai profundă: cine poartă responsabilitatea pentru securitatea punctelor finale într-o lume auto-custodială?

Furnizorii de portofele construiesc instrumente anti-phishing, cercetătorii publică rapoarte de amenințări, iar regulatorii avertizează consumatorii. Totuși atacatorul a avut nevoie doar de un e-mail fals, un logo clonat și un contract drainer pentru a compromite sute de portofele.

Infrastructura care permite auto-custodia, tranzacții fără permisiune, adrese pseudonime și transferuri ireversibile o face, de asemenea, de neiertat.

Industria tratează aceasta ca o problemă de educație: dacă utilizatorii ar verifica adresele expeditorilor, ar plasa cursorul peste linkuri și ar revoca aprobările vechi, atacurile ar eșua.

Totuși, datele Chainalysis despre 158.000 de compromitări sugerează că educația singură nu scalează. Atacatorii se adaptează mai repede decât învață utilizatorii. E-mailul de phishing MetaMask a evoluat de la șabloane crude „Portofelul dvs. este blocat!" la campanii sezoniere rafinate.

Exploatarea extensiei Trust Wallet a dovedit că chiar și utilizatorii atenți pot pierde fonduri dacă canalele de distribuție sunt compromise.

Ce funcționează: portofele hardware pentru dețineri semnificative, revocare nemiloasă a aprobărilor, segregarea portofelelor pe profil de risc și scepticism față de orice mesaj nesolícitat de la furnizorii de portofele.

Ce nu funcționează: presupunând că interfețele portofelelor sunt sigure în mod implicit, tratând aprobările ca decizii unice sau consolidând toate activele într-un singur portofel hot pentru comoditate. Drainer-ul ZachXBT va fi închis deoarece adresa este semnalată, iar schimburile vor îngheța depozitele.

Dar un alt drainer va fi lansat săptămâna viitoare cu un șablon ușor diferit și o nouă adresă de contract.

Ciclul continuă până când utilizatorii internalizează că comoditatea crypto creează o suprafață de atac care este în cele din urmă exploatată. Alegerea nu este între securitate și utilizabilitate, ci mai degrabă între frecare acum și pierdere mai târziu.

Postarea Sute de portofele MetaMask golite: Ce să verificați înainte de a „actualiza" a apărut pentru prima dată pe CryptoSlate.