Исследователь безопасности ончейн ZachXBT отметил сотни кошельков в нескольких EVM-сетях, которые были опустошены на небольшие суммы, обычно менее 2 000 $ на жертву, с переводом средств на один подозрительный адрес.
Общая сумма кражи превысила 107 000 $ и продолжала расти. Первопричина пока неизвестна, но пользователи сообщили о получении фишингового письма, замаскированного под обязательное обновление MetaMask, с логотипом лисы в праздничной шляпе и темой письма «С Новым годом!».
Эта атака произошла, когда разработчики были на каникулах, каналы поддержки работали в минимальном составе, а пользователи просматривали почтовые ящики, переполненные новогодними акциями.
Атакующие используют это окно. Небольшие суммы на жертву предполагают, что похититель действует через разрешения контрактов, а не через полную компрометацию мнемонического слова во многих случаях, что удерживает индивидуальные потери ниже порога, при котором жертвы немедленно поднимают тревогу, но позволяет атакующему масштабироваться на сотни кошельков.
Индустрия всё ещё обрабатывает отдельный инцидент с браузерным расширением Trust Wallet, в котором злонамеренный код в расширении Chrome v2.68 собрал приватные ключи и опустошил по меньшей мере 8,5 миллиона $ из 2 520 кошельков до того, как Trust Wallet выпустил патч v2.69.
Две разные эксплуатации, один урок: конечные точки пользователей остаются самым слабым звеном.
Анатомия работающего фишингового письма
Фишинговое письмо в стиле MetaMask демонстрирует, почему эти атаки успешны.
Идентификация отправителя показывает «MetaLiveChain» — название, которое звучит смутно связанным с DeFi, но не имеет никакого отношения к MetaMask.
Заголовок письма содержит ссылку для отписки для «[email protected]», раскрывая, что атакующий взял шаблоны из легитимных маркетинговых кампаний. Тело письма содержит логотип лисы MetaMask в праздничной шляпе, смешивая сезонную радость с искусственной срочностью «обязательного обновления».
Эта комбинация обходит эвристику, которую большинство пользователей применяют к очевидным мошенничествам.
Фишинговое письмо выдаёт себя за MetaMask с логотипом лисы в праздничной шляпе, ложно утверждая, что «обязательное» системное обновление 2026 года требуется для доступа к аккаунту.Официальная документация по безопасности MetaMask устанавливает чёткие правила. Письма поддержки приходят только с проверенных адресов, таких как [email protected], и никогда со сторонних доменов.
Провайдер кошелька не отправляет незапрошенные письма с требованием верификации или обновлений.
Кроме того, ни один представитель никогда не попросит мнемоническое слово. Тем не менее эти письма работают, потому что они эксплуатируют разрыв между тем, что пользователи знают интеллектуально, и тем, что они делают рефлекторно, когда приходит официально выглядящее сообщение.
Четыре сигнала раскрывают фишинг до того, как произойдёт ущерб.
Во-первых, несоответствие бренда и отправителя, поскольку брендинг MetaMask от «MetaLiveChain» сигнализирует о краже шаблона. Во-вторых, искусственная срочность вокруг обязательных обновлений, которые MetaMask явно заявляет, что не будет отправлять.
В-третьих, URL-адреса назначения, которые не совпадают с заявленными доменами, — наведение курсора перед кликом раскрывает фактическую цель. В-четвёртых, запросы, нарушающие основные правила кошелька, такие как запрос мнемонических слов или запрос на подписи непрозрачных внецепочечных сообщений.
Случай ZachXBT демонстрирует механику фишинга подписей. Жертвы, которые кликнули на поддельную ссылку обновления, вероятно, подписали разрешение контракта, предоставив похитителю разрешение на перемещение токенов.
Эта единственная подпись открыла дверь для продолжающейся кражи в нескольких сетях. Атакующий выбрал небольшие суммы на кошелёк, потому что разрешения контрактов часто по умолчанию имеют неограниченные лимиты расходов, но опустошение всего вызвало бы немедленные расследования.
Распределение кражи на сотни жертв по 2 000 $ каждая остаётся незамеченным индивидуально, накапливая при этом шестизначные суммы.
Отзыв разрешений и сокращение радиуса поражения
После того как фишинговая ссылка нажата или злонамеренное разрешение подписано, приоритет смещается к сдерживанию. MetaMask теперь позволяет пользователям просматривать и отзывать разрешения токенов непосредственно в MetaMask Portfolio.
Revoke.cash проводит пользователей через простой процесс: подключите свой кошелёк, проверьте разрешения по каждой сети и отправьте транзакции отзыва для недоверенных контрактов.
Страница Token Approvals Etherscan предлагает ту же функциональность для ручного отзыва разрешений ERC-20, ERC-721 и ERC-1155. Эти инструменты важны, потому что жертвы, которые действуют быстро, могут отрезать доступ похитителя до потери всего.
Различие между компрометацией разрешения и компрометацией мнемонического слова определяет, можно ли спасти кошелёк. Руководство по безопасности MetaMask проводит чёткую линию: если вы подозреваете, что ваше мнемоническое слово было раскрыто, немедленно прекратите использование этого кошелька.
Создайте новый кошелёк на свежем устройстве, переведите оставшиеся активы и считайте исходное мнемоническое слово навсегда сожжённым. Отзыв разрешений помогает, когда атакующий держит только разрешения контрактов; если ваше мнемоническое слово утеряно, весь кошелёк должен быть оставлен.
Chainalysis задокументировала примерно 158 000 компрометаций личных кошельков, затронувших по меньшей мере 80 000 человек в 2025 году, даже несмотря на то что общая украденная стоимость упала примерно до 713 миллионов $.
Потери личных кошельков как доля от общей криптокражи выросли примерно с 10% в 2022 году до почти 25% в 2025 году, по данным Chainalysis.Атакующие поражают больше кошельков на меньшие суммы — паттерн, который выявил ZachXBT. Практическое следствие: организация кошельков для ограничения радиуса поражения так же важна, как и избежание фишинга.
Один скомпрометированный кошелёк не должен означать полную потерю портфеля.
Построение эшелонированной защиты
Провайдеры кошельков выпустили функции, которые могли бы сдержать эту атаку при принятии.
MetaMask теперь поощряет установку лимитов расходов на разрешения токенов вместо принятия разрешений «неограниченно» по умолчанию. Revoke.cash и панель Shield от De.Fi выступают за то, чтобы рассматривать обзоры разрешений как рутинную гигиену наряду с использованием аппаратного кошелька для долгосрочных хранений.
MetaMask включает предупреждения о безопасности транзакций от Blockaid по умолчанию, помечая подозрительные контракты до выполнения подписей.
Инцидент с расширением Trust Wallet усиливает необходимость эшелонированной защиты. Та эксплуатация обошла решения пользователей, и злонамеренный код в официальном листинге Chrome автоматически собрал ключи.
Пользователи, которые разделили хранения между аппаратными кошельками (холодное хранение), программными кошельками (тёплые транзакции) и одноразовыми кошельками (экспериментальные протоколы), ограничили подверженность.
Эта трёхуровневая модель создаёт трение, но трение — это и есть смысл. Фишинговое письмо, которое захватывает одноразовый кошелек, стоит сотни или несколько тысяч долларов. Та же атака против одного кошелька, хранящего весь портфель, стоит меняющих жизнь денег.
Похититель ZachXBT преуспел, потому что он нацелился на шов между удобством и безопасностью. Большинство пользователей хранят всё в одном экземпляре MetaMask, потому что управление несколькими кошельками кажется громоздким.
Атакующий поставил на то, что профессионально выглядящее письмо в Новый год застанет достаточно людей врасплох, чтобы создать прибыльный объём. Эта ставка окупилась, с 107 000 $ и продолжает расти.
Официальное руководство MetaMask определяет три красных флага фишинга: неправильные адреса отправителей, незапрошенные срочные требования обновления и запросы на мнемонические слова или пароли.Что поставлено на карту
Этот инцидент ставит более глубокий вопрос: кто несёт ответственность за безопасность конечных точек в мире самостоятельного хранения?
Провайдеры кошельков создают антифишинговые инструменты, исследователи публикуют отчёты об угрозах, а регуляторы предупреждают потребителей. Тем не менее атакующему потребовалось только поддельное письмо, клонированный логотип и контракт похитителя для компрометации сотен кошельков.
Инфраструктура, которая обеспечивает самостоятельное хранение, беспрепятственные транзакции, псевдонимные адреса и необратимые переводы, также делает её неумолимой.
Индустрия рассматривает это как проблему образования: если бы пользователи проверяли адреса отправителей, наводили курсор на ссылки и отзывали старые разрешения, атаки бы провалились.
Тем не менее данные Chainalysis о 158 000 компрометаций предполагают, что одно образование не масштабируется. Атакующие адаптируются быстрее, чем пользователи учатся. Фишинговое письмо MetaMask эволюционировало от грубых шаблонов «Ваш кошелёк заблокирован!» до отполированных сезонных кампаний.
Эксплуатация расширения Trust Wallet доказала, что даже осторожные пользователи могут потерять средства, если каналы распространения скомпрометированы.
Что работает: аппаратные кошельки для значительных хранений, безжалостный отзыв разрешений, сегрегация кошельков по профилю риска и скептицизм к любым незапрошенным сообщениям от провайдеров кошельков.
Что не работает: предположение, что интерфейсы кошельков безопасны по умолчанию, рассмотрение разрешений как одноразовых решений или консолидация всех активов в одном горячем кошельке для удобства. Похититель ZachXBT будет закрыт, потому что адрес помечен, а биржи заморозят депозиты.
Но другой похититель запустится на следующей неделе с немного другим шаблоном и новым адресом
контракта.
Цикл продолжается до тех пор, пока пользователи не усвоят, что удобство криптовалюты создаёт поверхность атаки, которая в конечном итоге эксплуатируется. Выбор не между безопасностью и удобством использования, а скорее между трением сейчас и потерей позже.
Источник: https://cryptoslate.com/hundreds-of-evm-wallets-drained-what-to-check-before-you-update/
