Сотни кошельков MetaMask опустошены: Что проверить перед "обновлением"

Исследователь безопасности ончейн ZachXBT обнаружил сотни кошельков в нескольких EVM-сетях, с которых были слиты небольшие суммы, обычно менее 2 000 $ на жертву, перенаправляемые на один подозрительный адрес.

Общая сумма кражи превысила 107 000 $ и продолжала расти. Первопричина все еще неизвестна, но пользователи сообщили о получении фишингового письма, замаскированного под обязательное обновление MetaMask, с логотипом лисы в праздничной шляпе и темой письма «С Новым годом!».

Эта атака произошла, когда разработчики были на каникулах, каналы поддержки работали минимальным составом, а пользователи просматривали почтовые ящики, переполненные новогодними акциями.

Злоумышленники воспользовались этим окном. Небольшие суммы на одну жертву предполагают, что в большинстве случаев программа-вымогатель работает через одобрения контрактов, а не через полную компрометацию мнемонического слова, что удерживает индивидуальные потери ниже порога, при котором жертвы немедленно бьют тревогу, но позволяет злоумышленнику масштабироваться на сотни кошельков.

Индустрия все еще обрабатывает отдельный инцидент с расширением браузера Trust Wallet, в котором вредоносный код в расширении Chrome v2.68 собирал приватные ключи и слил как минимум 8,5 миллионов $ с 2 520 кошельков, прежде чем Trust Wallet выпустил патч v2.69.

Две разные эксплойты, один урок: конечные точки пользователей остаются самым слабым звеном.

Анатомия работающего фишингового письма

Фишинговое письмо в стиле MetaMask демонстрирует, почему эти атаки успешны.

Идентификатор отправителя показывает «MetaLiveChain», название, которое звучит смутно связанным с DeFi, но не имеет никакого отношения к MetaMask.

Заголовок письма содержит ссылку для отписки на «reviews@yotpo.com», что показывает, что злоумышленник скопировал шаблоны из легитимных маркетинговых кампаний. В теле письма изображен логотип лисы MetaMask в праздничной шляпе, сочетающий сезонное веселье с искусственной срочностью об «обязательном обновлении».

Эта комбинация обходит эвристику, которую большинство пользователей применяют к очевидным мошенничествам.

Официальная документация по безопасности MetaMask устанавливает четкие правила. Электронная почта поддержки приходит только с проверенных адресов, таких как support@metamask.io, и никогда со сторонних доменов.

Провайдер кошелька не отправляет нежелательные письма с требованием верификации или обновлений.

Кроме того, ни один представитель никогда не попросит Мнемоническое слово. Тем не менее, эти письма работают, потому что они используют разрыв между тем, что пользователи знают интеллектуально, и тем, что они делают рефлекторно, когда приходит сообщение официального вида.

Четыре сигнала выявляют фишинг до того, как произойдет ущерб.

Во-первых, несоответствие бренда и отправителя, поскольку брендинг MetaMask от «MetaLiveChain» сигнализирует о краже шаблона. Во-вторых, искусственная срочность вокруг обязательных обновлений, которые MetaMask явно заявляет, что не будет отправлять.

В-третьих, URL-адреса назначения, которые не соответствуют заявленным доменам, наведение курсора перед кликом раскрывает фактическую цель. В-четвертых, запросы, нарушающие основные правила кошелька, такие как запрос мнемонических слов или предложение подписать непрозрачные внецепочечные сообщения.

Случай ZachXBT демонстрирует механику фишинга с подписью. Жертвы, которые нажали на поддельную ссылку обновления, вероятно, подписали одобрение контракта, предоставив программе-вымогателю разрешение на перемещение токенов.

Эта единственная подпись открыла дверь для продолжающейся кражи в нескольких сетях. Злоумышленник выбрал небольшие суммы на кошелек, потому что одобрения контрактов часто по умолчанию имеют неограниченные лимиты расходов, но слив всего вызвал бы немедленные расследования.

Распределение кражи среди сотен жертв по 2 000 $ каждая остается незамеченным на индивидуальном уровне, накапливая при этом шестизначные суммы.

Отзыв одобрений и уменьшение радиуса поражения

После того как фишинговая ссылка нажата или вредоносное одобрение подписано, приоритет смещается на сдерживание. MetaMask теперь позволяет пользователям просматривать и отзывать разрешения на токены непосредственно в MetaMask Portfolio.

Revoke.cash проводит пользователей через простой процесс: подключите свой кошелек, проверьте одобрения по сети и отправьте транзакции отзыва для ненадежных контрактов.

Страница Token Approvals в Etherscan предлагает ту же функциональность для ручного отзыва одобрений ERC-20, ERC-721 и ERC-1155. Эти инструменты имеют значение, потому что жертвы, которые действуют быстро, могут отрезать доступ программе-вымогателю до потери всего.

Различие между компрометацией одобрения и компрометацией мнемонического слова определяет, можно ли спасти кошелек. Руководство по безопасности MetaMask проводит четкую линию: если вы подозреваете, что ваше Мнемоническое слово было раскрыто, немедленно прекратите использовать этот кошелек.

Создайте новый кошелек на свежем устройстве, переведите оставшиеся активы и считайте исходное мнемоническое слово навсегда сожженным. Отзыв одобрений помогает, когда злоумышленник имеет только разрешения контракта; если ваше мнемоническое слово исчезло, весь кошелек должен быть заброшен.

Chainalysis задокументировал примерно 158 000 компрометаций личных кошельков, затронувших не менее 80 000 человек в 2025 году, даже несмотря на то, что общая украденная стоимость упала до примерно 713 миллионов $.

Злоумышленники атакуют больше кошельков на меньшие суммы — паттерн, который выявил ZachXBT. Практическое следствие: организация кошельков для ограничения радиуса поражения важна так же, как и избегание фишинга.

Один скомпрометированный кошелек не должен означать полную потерю портфеля.

Построение глубокой защиты

Провайдеры кошельков выпустили функции, которые могли бы сдержать эту атаку, если бы были приняты.

MetaMask теперь рекомендует устанавливать лимиты расходов на одобрения токенов вместо принятия разрешений «неограниченно» по умолчанию. Revoke.cash и панель Shield от De.Fi рекомендуют рассматривать проверки одобрений как рутинную гигиену наряду с использованием аппаратных кошельков для долгосрочных хранений.

MetaMask включает оповещения о безопасности транзакций от Blockaid по умолчанию, помечая подозрительные контракты до выполнения подписей.

Инцидент с расширением Trust Wallet подчеркивает необходимость глубокой защиты. Эта эксплойт обошла решения пользователя, и вредоносный код в официальном листинге Chrome автоматически собирал ключи.

Пользователи, которые разделили свои активы между аппаратными кошельками (холодное хранилище), программными кошельками (теплые транзакции) и одноразовыми кошельками (экспериментальные протоколы), ограничили подверженность риску.

Эта трехуровневая модель создает трение, но трение — это суть. Фишинговое письмо, которое захватывает одноразовый кошелек, стоит сотни или несколько тысяч долларов. Та же атака на один кошелек, содержащий весь портфель, стоит денег, меняющих жизнь.

Программа-вымогатель ZachXBT преуспела, потому что нацелилась на шов между удобством и безопасностью. Большинство пользователей хранят все в одном экземпляре MetaMask, потому что управление несколькими кошельками кажется обременительным.

Злоумышленник сделал ставку на то, что профессионально выглядящее письмо в Новый год застанет достаточно людей врасплох, чтобы генерировать прибыльный объем. Эта ставка окупилась — 107 000 $ и продолжает расти.

Что поставлено на карту

Этот инцидент ставит более глубокий вопрос: кто несет ответственность за безопасность конечных точек в мире самостоятельного хранения?

Провайдеры кошельков создают антифишинговые инструменты, исследователи публикуют отчеты об угрозах, а регуляторы предупреждают потребителей. Тем не менее, злоумышленнику потребовалось только поддельное письмо, клонированный логотип и контракт-вымогатель, чтобы скомпрометировать сотни кошельков.

Инфраструктура, которая обеспечивает самостоятельное хранение, транзакции без разрешений, псевдонимные адреса и необратимые переводы, также делает ее неумолимой.

Индустрия рассматривает это как проблему образования: если пользователи проверяют адреса отправителей, наводят курсор на ссылки и отзывают старые одобрения, атаки потерпят неудачу.

Тем не менее, данные Chainalysis о 158 000 компрометациях предполагают, что одного образования недостаточно для масштабирования. Злоумышленники адаптируются быстрее, чем пользователи учатся. Фишинговое письмо MetaMask эволюционировало от грубых шаблонов «Ваш кошелек заблокирован!» до отполированных сезонных кампаний.

Эксплойт расширения Trust Wallet доказал, что даже осторожные пользователи могут потерять средства, если каналы распространения будут скомпрометированы.

Что работает: аппаратные кошельки для значительных активов, безжалостный отзыв одобрений, разделение кошельков по профилю риска и скептицизм по отношению к любым нежелательным сообщениям от провайдеров кошельков.

Что не работает: предполагать, что интерфейсы кошельков безопасны по умолчанию, рассматривать одобрения как одноразовые решения или консолидировать все активы в одном горячем кошельке для удобства. Программа-вымогатель ZachXBT будет закрыта, потому что адрес помечен, а биржи заморозят депозиты.

Но на следующей неделе запустится другая программа-вымогатель с немного другим шаблоном и новым адресом
контракта.

Цикл продолжается до тех пор, пока пользователи не осознают, что удобство криптовалюты создает поверхность атаки, которая в конечном итоге будет эксплуатирована. Выбор не между безопасностью и удобством использования, а скорее между трением сейчас и потерей позже.

Пост Сотни кошельков MetaMask слиты: что проверить перед «обновлением» впервые появился на CryptoSlate.