SlowMist предупреждает о сложной мошеннической схеме с 2FA, нацеленной на кошельки MetaMask

Главный специалист по безопасности SlowMist "23pds" выпустил срочное предупреждение о новой фишинговой схеме, нацеленной на пользователей MetaMask через поддельные страницы двухфакторной аутентификации, предназначенные для кражи фраз восстановления кошелька.

Сложная атака имитирует интерфейс безопасности MetaMask, используя поддельные доменные имена, которые близко напоминают легитимную платформу, обманывая пользователей, заставляя их верить, что они выполняют стандартные процедуры безопасности, при этом передавая критически важные учетные данные кошелька.

Мошенничество работает через несколько обманных этапов, которые эксплуатируют доверие пользователей к протоколам безопасности.

Злоумышленники создают мошеннические домены, такие как "mertamask" вместо "metamask", и перенаправляют жертв на убедительные страницы оповещений безопасности, которые выглядят подлинными.

Затем пользователи сталкиваются с тем, что кажется стандартным экраном верификации 2FA, с таймерами обратного отсчета и реалистичными напоминаниями о безопасности, что создает ложную уверенность, прежде чем на последнем шаге запрашивается их сид-фраза под видом завершения аутентификации.

Появляется новый вектор атаки по мере развития фишинговых тактик

Хотя общие потери от фишинга резко сократились в 2025 году, с атаками по опустошению кошельков, снизившимися на 83% до $ 83,85 миллиона с почти $ 494 миллионов в предыдущем году, злоумышленники продолжают адаптировать свои методы.

Согласно отчету Cryptonews, количество пострадавших пользователей упало примерно до 106 000, что на 68% меньше по сравнению с прошлым годом.

Тем не менее, сложные операции, такие как мошенничество с 2FA MetaMask, показывают, что злоумышленники продолжают совершенствовать тактику социальной инженерии, даже несмотря на снижение совокупных потерь.

Фишинговая активность тесно следовала за более широкими рыночными циклами на протяжении 2025 года, причем третий квартал зафиксировал наибольшие потери в $ 31 миллион во время самого сильного ралли Ethereum.

Только август и сентябрь составили почти 29% от общих годовых потерь, подкрепляя то, что эксперты по безопасности видят как функционирование фишинга в качестве "вероятностной функции активности пользователей", где более высокие объемы транзакций увеличивают потенциальный пул жертв.

Крупнейший единичный инцидент года связан с кражей $ 6,5 миллиона в сентябре, связанной со злонамеренной подписью Permit.

Одобрения Permit и Permit2 оставались наиболее эффективными векторами атак, составляя 38% потерь в случаях, превышающих $ 1 миллион, в то время как новые векторы атак появились после обновления Ethereum Pectra.

Злоумышленники начали злоупотреблять злонамеренными подписями на основе EIP-7702, которые позволяют объединить несколько вредоносных действий в одно одобрение пользователя, что привело к двум таким инцидентам в августе, которые привели к потерям в $ 2,54 миллиона.

Несмотря на общее снижение, злоумышленники сместили стратегии с крупномасштабных ограблений на массовые розничные кампании: только 11 случаев превысили $ 1 миллион в 2025 году по сравнению с 30 в предыдущем году.

Средняя потеря на одну жертву упала до $ 790, что указывает на более широкую направленность на розничных пользователей, а не на изолированные громкие кражи.

Недавние скоординированные атаки опустошили сотни кошельков в сетях, совместимых с EVM, при этом индивидуальные потери обычно составляли менее $ 2 000 на адрес.

Индустрия мобилизует защитные сети против постоянных угроз

Крупные поставщики кошельков, включая MetaMask, Phantom, WalletConnect и Backpack, запустили глобальную сеть защиты от фишинга через партнерство с Security Alliance (SEAL), создавая то, что они описывают как "децентрализованную иммунную систему" для выявления угроз в реальном времени.

Система позволяет любому человеку в мире отправлять проверяемые отчеты о фишинге, которые автоматически проверяются и транслируются на все участвующие кошельки, обеспечивая более быстрое время отклика и потенциально спасая больше средств.

"Дрейнеры — это постоянная игра в кошки-мышки", — сказал исследователь безопасности MetaMask Ом Шах. "Партнерство с SEAL позволяет разработчикам кошельков двигаться быстрее и вставлять палки в колеса инфраструктуре дрейнеров."

Усилия по защите основаны на инструменте проверяемых отчетов о фишинге SEAL, который позволяет исследователям безопасности доказать, что сообщенные веб-сайты действительно содержат фишинговый контент.

Помимо технических эксплойтов, технология дипфейков стала еще одним вектором угроз: сооснователь Manta Network Кенни Ли раскрыл еще в апреле, что он стал целью сложного звонка в Zoom с использованием предварительно записанных видео знакомых людей.

Злоумышленники попытались обманом заставить его загрузить вредоносные файлы сценариев, замаскированные под обновления Zoom, при этом Ли подозревал участие связанной с Северной Кореей группы Lazarus.

Между тем, связанные с криптовалютой потери от взломов и эксплойтов кибербезопасности упали на 60% в декабре примерно до $ 76 миллионов по сравнению с $ 194,2 миллиона в ноябре.

Однако эксперты по безопасности предупреждают, что постоянные угрозы, такие как мошенничество с подменой адреса и эксплойты браузерных кошельков, продолжают нацеливаться на пользователей во всей экосистеме.