Cercetătorul de securitate on-chain ZachXBT a semnalat că sute de portofele din multiple lanțuri EVM au fost golite pentru sume mici, de obicei sub 2.000 de dolari per victimă, banii fiind direcționați către o singură adresă suspectă.
Totalul furtului a depășit 107.000 de dolari și a continuat să crească. Cauza principală este încă necunoscută, dar utilizatorii au raportat primirea unui e-mail de phishing deghizat ca o actualizare obligatorie MetaMask, complet cu logo-ul vulpii cu pălărie de petrecere și un subiect „La mulți ani!".
Acest atac a venit când dezvoltatorii erau în vacanță, canalele de asistență funcționau cu personal redus, iar utilizatorii derulau căsuțe de e-mail aglomerate cu promoții de Anul Nou.
Atacatorii exploatează acea fereastră. Sumele mici per victimă sugerează că drainer-ul funcționează pe baza aprobărilor de contract, mai degrabă decât pe compromiterea completă a seed-phrase-ului în multe cazuri, ceea ce menține pierderile individuale sub pragul la care victimele sună imediat alarma, dar permite atacatorului să scaleze pe sute de portofele.
Industria încă procesează un incident separat al extensiei de browser Trust Wallet, în care codul malicios din extensia Chrome v2.68 a recoltat chei private și a golit cel puțin 8,5 milioane de dolari din 2.520 de portofele înainte ca Trust Wallet să instaleze patch-ul v2.69.
Două exploit-uri diferite, aceeași lecție: punctele finale ale utilizatorilor rămân veriga cea mai slabă.
Anatomia unui e-mail de phishing care funcționează
E-mailul de phishing cu tema MetaMask demonstrează de ce aceste atacuri reușesc.
Identitatea expeditorului arată „MetaLiveChain", un nume care sună vag adiacent DeFi, dar nu are nicio legătură cu MetaMask.
Antetul e-mailului conține un link de dezabonare pentru „[email protected]", dezvăluind că atacatorul a copiat șabloane din campanii de marketing legitime. Corpul prezintă logo-ul vulpii MetaMask purtând o pălărie de petrecere, îmbinând veselia sezonieră cu urgența fabricată despre o „actualizare obligatorie".
Această combinație ocolește euristicile pe care majoritatea utilizatorilor le aplică la înșelătorii evidente.
E-mailul de phishing se dă drept MetaMask cu un logo de vulpe cu pălărie de petrecere, susținând fals că este necesară o actualizare „obligatorie" a sistemului 2026 pentru accesul la cont.Documentația oficială de securitate MetaMask stabilește reguli clare. E-mailurile de asistență vin doar de la adrese verificate, cum ar fi [email protected], și niciodată de la domenii terțe.
Furnizorul de portofel nu trimite e-mailuri nesolicitate care solicită verificare sau actualizări.
În plus, niciun reprezentant nu va cere vreodată o Secret Recovery Phrase. Totuși, aceste e-mailuri funcționează deoarece exploatează decalajul dintre ceea ce utilizatorii știu intelectual și ceea ce fac reflexiv atunci când sosește un mesaj cu aspect oficial.
Patru semnale expun phishing-ul înainte ca daunele să apară.
În primul rând, nepotrivirea brand-expeditor, deoarece branding-ul MetaMask de la „MetaLiveChain" semnalează furtul de șablon. În al doilea rând, urgența fabricată în jurul actualizărilor obligatorii pe care MetaMask spune în mod explicit că nu le va trimite.
În al treilea rând, URL-urile de destinație care nu corespund domeniilor revendicate, trecerea peste ele înainte de a da clic dezvăluie ținta reală. În al patrulea rând, solicitările care încalcă regulile de bază ale portofelului, cum ar fi cererea de seed phrase-uri sau solicitarea de semnături pe mesaje off-chain opace.
Cazul ZachXBT demonstrează mecanismele de signature-phishing. Victimele care au dat clic pe link-ul fals de actualizare au semnat probabil o aprobare de contract acordând drainer-ului permisiunea de a muta token-uri.
Acea singură semnătură a deschis ușa către furt continuu pe mai multe lanțuri. Atacatorul a ales sume mici per portofel deoarece aprobările de contract poartă adesea limite de cheltuieli nelimitate în mod implicit, dar golirea a totul ar declanșa investigații imediate.
Răspândirea furtului pe sute de victime la câte 2.000 de dolari fiecare zboară sub radarul individual, acumulând în același timp totaluri de șase cifre.
Revocarea aprobărilor și reducerea razei de explozie
Odată ce un link de phishing este accesat sau o aprobare malițioasă este semnată, prioritatea se deplasează către izolare. MetaMask permite acum utilizatorilor să vizualizeze și să revoce alocațiile de token-uri direct în MetaMask Portfolio.
Revoke.cash ghidează utilizatorii printr-un proces simplu: conectați portofelul, inspectați aprobările pe rețea și trimiteți tranzacții de revocare pentru contracte neîncrezătoare.
Pagina Token Approvals de pe Etherscan oferă aceeași funcționalitate pentru revocarea manuală a aprobărilor ERC-20, ERC-721 și ERC-1155. Aceste instrumente contează deoarece victimele care acționează rapid ar putea întrerupe accesul drainer-ului înainte de a pierde totul.
Distincția dintre compromiterea aprobării și compromiterea seed-phrase-ului determină dacă un portofel poate fi salvat. Ghidul de securitate MetaMask trasează o linie fermă: dacă suspectați că Secret Recovery Phrase-ul dvs. a fost expus, opriți imediat utilizarea acelui portofel.
Creați un portofel nou pe un dispozitiv nou, transferați activele rămase și tratați seed-ul original ca fiind permanent ars. Revocarea aprobărilor ajută când atacatorul deține doar permisiuni de contract; dacă seed-ul dvs. a dispărut, întregul portofel trebuie abandonat.
Chainalysis a documentat aproximativ 158.000 de compromisuri ale portofelelor personale care afectează cel puțin 80.000 de persoane în 2025, chiar dacă valoarea totală furată a scăzut la aproximativ 713 milioane de dolari.
Pierderile portofelelor personale ca parte din totalul furtului crypto au crescut de la aproximativ 10% în 2022 la aproape 25% în 2025, conform datelor Chainalysis.Atacatorii lovesc mai multe portofele pentru sume mai mici, modelul identificat de ZachXBT. Implicația practică: organizarea portofelelor pentru a limita raza de explozie contează la fel de mult ca evitarea phishing-ului.
Un singur portofel compromis nu ar trebui să însemne pierderea totală a portofoliului.
Construirea apărării în profunzime
Furnizorii de portofele au lansat funcții care ar fi conținut acest atac dacă ar fi fost adoptate.
MetaMask încurajează acum stabilirea limitelor de cheltuieli pentru aprobările de token-uri, mai degrabă decât acceptarea permisiunilor implicite „nelimitate". Revoke.cash și tabloul de bord Shield de la De.Fi pledează pentru ca verificările de aprobare să fie tratate ca igienă de rutină alături de utilizarea portofelului hardware pentru deținerile pe termen lung.
MetaMask activează alertele de securitate a tranzacțiilor de la Blockaid în mod implicit, semnalând contracte suspecte înainte ca semnăturile să fie executate.
Incidentul extensiei Trust Wallet întărește necesitatea apărării în profunzime. Acel exploit a ocolit deciziile utilizatorilor, iar codul malicios dintr-o listă oficială Chrome a recoltat automat chei.
Utilizatorii care și-au segregat deținerile pe portofele hardware (stocare la rece), portofele software (tranzacții calde) și portofele de unică folosință (protocoale experimentale) au limitat expunerea.
Acel model pe trei niveluri creează frecare, dar frecarea este punctul. Un e-mail de phishing care capturează un portofel de unică folosință costă sute sau câteva mii de dolari. Același atac împotriva unui singur portofel care deține un întreg portofoliu costă bani care schimbă viața.
Drainer-ul ZachXBT a reușit deoarece a vizat cusătura dintre comoditate și securitate. Majoritatea utilizatorilor păstrează totul într-o singură instanță MetaMask deoarece gestionarea mai multor portofele se simte greoaie.
Atacatorul a pariat că un e-mail cu aspect profesional de Anul Nou va prinde suficienți oameni nepregătiți pentru a genera volum profitabil. Acel pariu a dat roade, cu 107.000 de dolari și în creștere.
Ghidarea oficială MetaMask identifică trei semnale roșii de phishing: adrese de expeditor greșite, cereri urgente nesolicitate de actualizare și solicitări de Secret Recovery Phrases sau parole.Ce este în joc
Acest incident ridică o întrebare mai profundă: cine poartă responsabilitatea pentru securitatea punctelor finale într-o lume de auto-custodie?
Furnizorii de portofele construiesc instrumente anti-phishing, cercetătorii publică rapoarte de amenințare, iar regulatorii avertizează consumatorii. Totuși, atacatorul a avut nevoie doar de un e-mail fals, un logo clonat și un contract drainer pentru a compromite sute de portofele.
Infrastructura care permite auto-custodia, tranzacțiile fără permisiune, adresele pseudonime și transferurile ireversibile o face, de asemenea, de neiertat.
Industria tratează aceasta ca o problemă de educație: dacă utilizatorii ar verifica adresele expeditorilor, ar trece peste link-uri și ar revoca aprobările vechi, atacurile ar eșua.
Totuși, datele Chainalysis despre 158.000 de compromisuri sugerează că educația singură nu scalează. Atacatorii se adaptează mai repede decât învață utilizatorii. E-mailul de phishing MetaMask a evoluat de la șabloane crude „Portofelul tău este blocat!" la campanii sezoniere lustruite.
Exploit-ul extensiei Trust Wallet a dovedit că chiar și utilizatorii atenți pot pierde fonduri dacă canalele de distribuție sunt compromise.
Ce funcționează: portofele hardware pentru deținerile semnificative, revocarea nemiloasă a aprobărilor, segregarea portofelelor după profilul de risc și scepticismul față de orice mesaj nesolicitat de la furnizorii de portofele.
Ce nu funcționează: presupunerea că interfețele de portofel sunt sigure în mod implicit, tratarea aprobărilor ca decizii de unică dată sau consolidarea tuturor activelor într-un singur portofel fierbinte pentru comoditate. Drainer-ul ZachXBT va fi închis deoarece adresa este semnalată, iar schimburile vor îngheța depozitele.
Dar un alt drainer se va lansa săptămâna viitoare cu un șablon ușor diferit și o nouă adresă de
contract.
Ciclul continuă până când utilizatorii internalizează că comoditatea crypto creează o suprafață de atac care este eventual exploatată. Alegerea nu este între securitate și utilizabilitate, ci oarecum între frecare acum și pierdere mai târziu.
Sursă: https://cryptoslate.com/hundreds-of-evm-wallets-drained-what-to-check-before-you-update/
