Пользователи MetaMask подвергаются риску новой фишинговой атаки "верификация 2FA", которая крадет их сид-фразу под предлогом повышения безопасности.

По данным компании по безопасности блокчейна SlowMist, пользователи MetaMask получают поддельное письмо, создающее ложное чувство срочности, предлагая им включить двухфакторную аутентификацию. Сообщение имеет брендинг MetaMask и на первый взгляд выглядит убедительно. (См. ниже.)

Примечательно, что вредоносное уведомление также содержит таймер обратного отсчета, который усиливает давление на пользователя и пытается заставить его быстро отреагировать.

При нажатии на кнопку "Включить 2FA сейчас" пользователи перенаправляются на поддельную страницу, размещенную злоумышленником. Однако на самом деле весь процесс является обманом. Основная цель — обманом заставить пользователей MetaMask ввести свою мнемоническую фразу, которую злоумышленники могут использовать для доступа и перевода средств из их кошельков. (См. ниже.)

Хотя на первый взгляд менее осторожный пользователь может попасться на эту схему, поддельное письмо содержит несколько признаков, которые могут помочь пользователям распознать мошенничество.

Например, такие фишинговые сообщения часто содержат незначительные опечатки или несоответствия в дизайне, которые могут раскрыть их истинную природу. В данном случае URL-адрес, на который были перенаправлены пользователи MetaMask, был написан как "mertamask" вместо "metamask". В некоторых случаях эти письма также отправляются с совершенно не связанных учетных записей электронной почты или с адресов, использующих общедоступные домены, такие как Gmail. (См. ниже.)

Наконец, важно помнить, что MetaMask не отправляет незапрошенные письма с просьбой к пользователям подтвердить свои аккаунты или выполнить обновления безопасности. Любые такие запросы обычно являются мошенничеством.

Недавние фишинговые кампании, нацеленные на криптопользователей

В конце прошлой недели исследователь кибербезопасности Владимир С. обнаружил аналогичную кампанию, которая продвигала поддельное обновление приложения MetaMask. Считается, что она связана с продолжающейся эксплуатацией по опустошению кошельков.

По данным ончейн-детектива ZachXBT, инцидент привел к убыткам менее 2 000 $ на кошелек, но затронул широкий круг пользователей в нескольких EVM-совместимых сетях. Однако не подтверждено, определенно ли связаны эти две кампании.

Инцидент также был связан со взломом Trust Wallet, произошедшим в Рождество, где потери достигли примерно 7 млн $. 

Злоумышленник смог получить доступ к исходному коду расширения для браузера кошелька и загрузил вредоносную версию расширения в Chrome Web Store. Trust Wallet пообещал компенсировать всем пользователям, пострадавшим от инцидента.

Отдельно пользователи Cardano также были предупреждены о другой продолжающейся атаке, которая распространяла письма, рекламирующие мошенническое приложение Eternl Desktop.

Несмотря на то, что все эти события произошли менее чем за две недели, недавний отчет Scam Sniffer показал, что общие потери от криптофишинговых кампаний снизились почти на 88% в 2025 году по сравнению с предыдущим годом.