กระเป๋าเงิน MetaMask หลายร้อยถูกระบายหมด: สิ่งที่ต้องตรวจสอบก่อนที่คุณจะ 'อัปเดต'
นักวิจัยด้านความปลอดภัยออนเชน ZachXBT รายงานว่ามีกระเป๋าเงินหลายร้อยกระเป๋าใน EVM หลายเชนถูกถอนเงินออกเป็นจำนวนเล็กน้อย โดยทั่วไปต่ำกว่า $2,000 ต่อเหยื่อ โดยส่งต่อไปยังที่อยู่ที่น่าสงสัยเพียงที่อยู่เดียว
ยอดการโจรกรรมรวมปีนขึ้นเกิน $107,000 และยังคงเพิ่มขึ้น สาเหตุหลักยังคงไม่ทราบแน่ชัด แต่ผู้ใช้รายงานว่าได้รับอีเมลฟิชชิ่งที่ปลอมเป็นการอัปเกรด MetaMask ที่บังคับ พร้อมโลโก้สุนัขจิ้งจอกสวมหมวกปาร์ตี้และหัวข้อ "สวัสดีปีใหม่!"
การโจมตีครั้งนี้เกิดขึ้นเมื่อนักพัฒนาอยู่ในวันหยุด ช่องทางสนับสนุนมีพนักงานไม่เพียงพอ และผู้ใช้กำลังเลื่อนดูกล่องจดหมายที่เต็มไปด้วยโปรโมชั่นปีใหม่
ผู้โจมตีใช้ประโยชน์จากช่วงเวลานั้น จำนวนเงินต่อเหยื่อที่น้อยบ่งชี้ว่าตัวถอนเงินทำงานผ่านการอนุมัติสัญญามากกว่าการบุกรุก seed phrase แบบเต็มรูปแบบในหลายกรณี ซึ่งทำให้การสูญเสียรายบุคคลอยู่ต่ำกว่าเกณฑ์ที่เหยื่อจะส่งสัญญาณเตือนทันที แต่ช่วยให้ผู้โจมตีขยายได้ทั่วกระเป๋าเงินหลายร้อยกระเป๋า
อุตสาหกรรมยังคงประมวลผลเหตุการณ์ส่วนขยายเบราว์เซอร์ Trust Wallet แยกต่างหาก ซึ่งโค้ดที่เป็นอันตรายในส่วนขยาย Chrome v2.68 เก็บรวบรวมคีย์ส่วนตัวและถอนเงินอย่างน้อย $8.5 ล้านจาก 2,520 กระเป๋าเงินก่อนที่ Trust Wallet จะแก้ไขเป็น v2.69
การโจมตีสองแบบที่แตกต่างกัน บทเรียนเดียวกัน: จุดปลายทางของผู้ใช้ยังคงเป็นจุดอ่อนที่สุด
กายวิภาคของอีเมลฟิชชิ่งที่ได้ผล
อีเมลฟิชชิ่งธีม MetaMask แสดงให้เห็นว่าทำไมการโจมตีเหล่านี้จึงประสบความสำเร็จ
ตัวตนผู้ส่งแสดง "MetaLiveChain" ชื่อที่ฟังดูเหมือนเกี่ยวข้องกับ DeFi แต่ไม่มีความเชื่อมโยงกับ MetaMask
ส่วนหัวอีเมลมีลิงก์ยกเลิกการสมัครสมาชิกสำหรับ "reviews@yotpo.com" เผยให้เห็นว่าผู้โจมตียกเทมเพลตจากแคมเปญการตลาดที่ถูกต้อง เนื้อหามีโลโก้สุนัขจิ้งจอกของ MetaMask สวมหมวกปาร์ตี้ ผสมผสานความร่าเริงตามฤดูกาลกับความเร่งด่วนที่สร้างขึ้นเกี่ยวกับ "การอัปเดตที่บังคับ"
การผสมผสานนั้นหลีกเลี่ยงการใช้วิจารณญาณที่ผู้ใช้ส่วนใหญ่ใช้กับการหลอกลวงที่ชัดเจน
อีเมลฟิชชิ่งปลอมตัวเป็น MetaMask ด้วยโลโก้สุนัขจิ้งจอกสวมหมวกปาร์ตี้ อ้างเท็จว่าต้องมีการอัปเกรดระบบ 2026 ที่ "บังคับ" สำหรับการเข้าถึงบัญชี
เอกสารความปลอดภัยอย่างเป็นทางการของ MetaMask กำหนดกฎที่ชัดเจน อีเมลสนับสนุนมาจากที่อยู่ที่ตรวจสอบแล้วเท่านั้น เช่น support@metamask.io และไม่เคยมาจากโดเมนบุคคลที่สาม
ผู้ให้บริการกระเป๋าเงินไม่ส่งอีเมลที่ไม่ได้ร้องขอเพื่อเรียกร้องการตรวจสอบหรือการอัปเกรด
นอกจากนี้ ตัวแทนจะไม่มีทางขอ Secret Recovery Phrase แต่อีเมลเหล่านี้ได้ผลเพราะพวกเขาใช้ประโยชน์จากช่องว่างระหว่างสิ่งที่ผู้ใช้รู้ทางปัญญาและสิ่งที่พวกเขาทำโดยสัญชาตญาณเมื่อข้อความที่ดูเป็นทางการมาถึง
สัญญาณสี่ประการเปิดเผยฟิชชิ่งก่อนที่จะเกิดความเสียหาย
ประการแรก ความไม่ตรงกันระหว่างแบรนด์กับผู้ส่ง เนื่องจากการสร้างแบรนด์ MetaMask จาก "MetaLiveChain" เป็นสัญญาณของการขโมยเทมเพลต ประการที่สอง ความเร่งด่วนที่สร้างขึ้นเกี่ยวกับการอัปเดตที่บังคับซึ่ง MetaMask กล่าวอย่างชัดเจนว่าจะไม่ส่ง
ประการที่สาม URL ปลายทางที่ไม่ตรงกับโดเมนที่อ้าง การวางเมาส์ก่อนคลิกเผยให้เห็นเป้าหมายจริง ประการที่สี่ คำขอที่ละเมิดกฎหลักของกระเป๋าเงิน เช่น การขอ seed phrase หรือการแจ้งให้ลงนามในข้อความนอกเชนที่ไม่ชัดเจน
กรณี ZachXBT แสดงให้เห็นกลไกฟิชชิ่งด้วยลายเซ็น เหยื่อที่คลิกลิงก์อัปเกรดปลอมน่าจะลงนามในการอนุมัติสัญญาที่ให้สิทธิ์ตัวถอนเงินในการย้ายโทเค็น
ลายเซ็นเดียวนั้นเปิดประตูสู่การโจรกรรมอย่างต่อเนื่องในหลายเชน ผู้โจมตีเลือกจำนวนเงินต่อกระเป๋าที่เล็กเพราะการอนุมัติสัญญามักมีขีดจำกัดการใช้จ่ายไม่จำกัดโดยค่าเริ่มต้น แต่การถอนทุกอย่างจะกระตุ้นการสอบสวนทันที
การกระจายการโจรกรรมไปทั่วเหยื่อหลายร้อยคนที่ $2,000 ต่อคนบินต่ำกว่าเรดาร์รายบุคคลในขณะที่สะสมยอดรวมหกหลัก
การเพิกถอนการอนุมัติและการลดรัศมีผลกระทบ
เมื่อคลิกลิงก์ฟิชชิ่งหรือลงนามการอนุมัติที่เป็นอันตราย ลำดับความสำคัญจะเปลี่ยนไปที่การควบคุม MetaMask ตอนนี้ให้ผู้ใช้ดูและเพิกถอนค่าเผื่อโทเค็นได้โดยตรงภายใน MetaMask Portfolio
Revoke.cash แนะนำผู้ใช้ผ่านกระบวนการง่ายๆ: เชื่อมต่อกระเป๋าเงินของคุณ ตรวจสอบการอนุมัติต่อเครือข่าย และส่งธุรกรรมเพิกถอนสำหรับสัญญาที่ไม่น่าเชื่อถือ
หน้า Token Approvals ของ Etherscan เสนอฟังก์ชันเดียวกันสำหรับการเพิกถอนด้วยตนเองของการอนุมัติ ERC-20, ERC-721 และ ERC-1155 เครื่องมือเหล่านี้สำคัญเพราะเหยื่อที่ดำเนินการอย่างรวดเร็วสามารถตัดการเข้าถึงของตัวถอนเงินก่อนที่จะสูญเสียทุกอย่าง
ความแตกต่างระหว่างการบุกรุกการอนุมัติและการบุกรุก seed phrase กำหนดว่ากระเป๋าเงินสามารถกู้คืนได้หรือไม่ คู่มือความปลอดภัยของ MetaMask วาดเส้นที่เข้มงวด: หากคุณสงสัยว่า Secret Recovery Phrase ของคุณถูกเปิดเผย ให้หยุดใช้กระเป๋าเงินนั้นทันที
สร้างกระเป๋าเงินใหม่บนอุปกรณ์ใหม่ โอนสินทรัพย์ที่เหลือ และถือว่า seed เดิมถูกเผาอย่างถาวร การเพิกถอนการอนุมัติช่วยได้เมื่อผู้โจมตีมีเพียงสิทธิ์สัญญา หาก seed ของคุณหายไป กระเป๋าเงินทั้งหมดต้องถูกละทิ้ง
Chainalysis บันทึกการบุกรุกกระเป๋าเงินส่วนบุคคลประมาณ 158,000 รายการที่ส่งผลกระทบต่อผู้คนอย่างน้อย 80,000 คนในปี 2025 แม้ว่ามูลค่าที่ถูกขโมยทั้งหมดจะลดลงเหลือประมาณ $713 ล้าน
การสูญเสียกระเป๋าเงินส่วนบุคคลในฐานะส่วนแบ่งของการโจรกรรมคริปโตทั้งหมดเพิ่มขึ้นจากประมาณ 10% ในปี 2022 เป็นเกือบ 25% ในปี 2025 ตามข้อมูล Chainalysis
ผู้โจมตีโจมตีกระเป๋าเงินมากขึ้นด้วยจำนวนเงินที่น้อยลง รูปแบบที่ ZachXBT ระบุ ผลกระทบในทางปฏิบัติ: การจัดระเบียบกระเป๋าเงินเพื่อจำกัดรัศมีผลกระทบมีความสำคัญพอๆ กับการหลีกเลี่ยงฟิชชิ่ง
กระเป๋าเงินที่ถูกบุกรุกเพียงรายการเดียวไม่ควรหมายถึงการสูญเสียพอร์ตโฟลิโอทั้งหมด
การสร้างการป้องกันแบบเจาะลึก
ผู้ให้บริการกระเป๋าเงินได้ส่งมอบฟีเจอร์ที่จะสามารถควบคุมการโจมตีนี้ได้หากนำมาใช้
MetaMask ตอนนี้สนับสนุนให้ตั้งค่าขีดจำกัดการใช้จ่ายในการอนุมัติโทเค็นแทนที่จะยอมรับสิทธิ์ "ไม่จำกัด" เริ่มต้น Revoke.cash และแดชบอร์ด Shield ของ De.Fi สนับสนุนให้ถือว่าการตรวจสอบการอนุมัติเป็นสุขอนามัยตามปกติควบคู่ไปกับการใช้กระเป๋าเงินฮาร์ดแวร์สำหรับการถือครองระยะยาว
MetaMask เปิดใช้งานการแจ้งเตือนความปลอดภัยธุรกรรมจาก Blockaid โดยค่าเริ่มต้น โดยทำเครื่องหมายสัญญาที่น่าสงสัยก่อนที่จะดำเนินการลงนาม
เหตุการณ์ส่วนขยาย Trust Wallet เสริมสร้างความจำเป็นในการป้องกันแบบเจาะลึก การโจมตีนั้นหลีกเลี่ยงการตัดสินใจของผู้ใช้ และโค้ดที่เป็นอันตรายในรายการ Chrome อย่างเป็นทางการเก็บรวบรวมคีย์โดยอัตโนมัติ
ผู้ใช้ที่แยกการถือครองผ่านกระเป๋าเงินฮาร์ดแวร์ (การจัดเก็บแบบเย็น) กระเป๋าเงินซอฟต์แวร์ (ธุรกรรมอุ่น) และกระเป๋าเงินแบบใช้ทิ้ง (โปรโตคอลทดลอง) จำกัดความเสี่ยง
โมเดลสามระดับนั้นสร้างแรงเสียดทาน แต่แรงเสียดทานคือประเด็น อีเมลฟิชชิ่งที่จับกระเป๋าเงินแบบใช้ทิ้งมีค่าใช้จ่ายหลายร้อยหรือหลายพันดอลลาร์ การโจมตีเดียวกันกับกระเป๋าเงินเดียวที่ถือพอร์ตโฟลิโอทั้งหมดมีค่าใช้จ่ายเงินที่เปลี่ยนแปลงชีวิต
ตัวถอนเงิน ZachXBT ประสบความสำเร็จเพราะมันกำหนดเป้าหมายรอยต่อระหว่างความสะดวกสบายและความปลอดภัย ผู้ใช้ส่วนใหญ่เก็บทุกอย่างไว้ใน MetaMask อินสแตนซ์เดียวเพราะการจัดการกระเป๋าเงินหลายรายการรู้สึกยุ่งยาก
ผู้โจมตีเดิมพันว่าอีเมลที่ดูเป็นมืออาชีพในวันปีใหม่จะจับคนได้มากพอที่จะสร้างปริมาณที่ทำกำไรได้ การเดิมพันนั้นได้ผล โดยมี $107,000 และยังนับต่อไป
คำแนะนำอย่างเป็นทางการของ MetaMask ระบุสัญญาณเตือนฟิชชิ่งสามประการ: ที่อยู่ผู้ส่งผิด ความต้องการอัปเกรดเร่งด่วนที่ไม่ได้ร้องขอ และคำขอสำหรับ Secret Recovery Phrases หรือรหัสผ่าน
สิ่งที่เป็นเดิมพัน
เหตุการณ์นี้ตั้งคำถามที่ลึกซึ้งกว่า: ใครรับผิดชอบต่อความปลอดภัยจุดปลายทางในโลกการเก็บรักษาด้วยตนเอง?
ผู้ให้บริการกระเป๋าเงินสร้างเครื่องมือป้องกันฟิชชิ่ง นักวิจัยเผยแพร่รายงานภัยคุกคาม และหน่วยงานกำกับดูแลเตือนผู้บริโภค แต่ผู้โจมตีต้องการเพียงอีเมลปลอม โลโก้ที่โคลน และสัญญาถอนเงินเพื่อบุกรุกกระเป๋าเงินหลายร้อยกระเป๋า
โครงสร้างพื้นฐานที่เปิดใช้งานการเก็บรักษาด้วยตนเอง ธุรกรรมที่ไม่ต้องได้รับอนุญาต ที่อยู่นามแฝง และการโอนที่ย้อนกลับไม่ได้ก็ทำให้มันไม่อภัยด้วย
อุตสาหกรรมถือว่านี่เป็นปัญหาการศึกษา: หากผู้ใช้ตรวจสอบที่อยู่ผู้ส่ง วางเมาส์เหนือลิงก์ และเพิกถอนการอนุมัติเก่า การโจมตีจะล้มเหลว
แต่ข้อมูลของ Chainalysis เกี่ยวกับการบุกรุก 158,000 รายการชี้ให้เห็นว่าการศึกษาเพียงอย่างเดียวไม่ขยายขนาดได้ ผู้โจมตีปรับตัวเร็วกว่าผู้ใช้เรียนรู้ อีเมลฟิชชิ่ง MetaMask พัฒนาจากเทมเพลต "กระเป๋าเงินของคุณถูกล็อค!" ที่หยาบไปสู่แคมเปญตามฤดูกาลที่ขัดเกลา
การโจมตีส่วนขยาย Trust Wallet พิสูจน์แล้วว่าแม้แต่ผู้ใช้ที่ระมัดระวังก็สามารถสูญเสียเงินได้หากช่องทางการแจกจ่ายถูกบุกรุก
สิ่งที่ได้ผล: กระเป๋าเงินฮาร์ดแวร์สำหรับการถือครองที่มีความหมาย การเพิกถอนการอนุมัติอย่างไร้ความปราณี การแยกกระเป๋าเงินตามโปรไฟล์ความเสี่ยง และความสงสัยต่อข้อความที่ไม่ได้ร้องขอใดๆ จากผู้ให้บริการกระเป๋าเงิน
สิ่งที่ไม่ได้ผล: การสันนิษฐานว่าอินเทอร์เฟซกระเป๋าเงินปลอดภัยโดยค่าเริ่มต้น การถือว่าการอนุมัติเป็นการตัดสินใจครั้งเดียว หรือการรวมสินทรัพย์ทั้งหมดในกระเป๋าเงินฮอตเดียวเพื่อความสะดวก ตัวถอนเงิน ZachXBT จะถูกปิดเพราะที่อยู่ถูกทำเครื่องหมาย และแลกเปลี่ยนจะระงับการฝาก
แต่ตัวถอนเงินอื่นจะเปิดตัวในสัปดาห์หน้าด้วยเทมเพลตที่แตกต่างเล็กน้อยและที่อยู่สัญญาใหม่
วงจรดำเนินต่อไปจนกว่าผู้ใช้จะซึมซับว่าความสะดวกสบายของคริปโตสร้างพื้นผิวการโจมตีที่ในที่สุดจะถูกใช้ประโยชน์ ทางเลือกไม่ใช่ระหว่างความปลอดภัยและการใช้งาน แต่ค่อนข้างระหว่างแรงเสียดทานตอนนี้และการสูญเสียในภายหลัง
โพสต์ กระเป๋าเงิน MetaMask หลายร้อยรายการถูกถอนเงิน: สิ่งที่ควรตรวจสอบก่อนที่คุณจะ 'อัปเดต' ปรากฏครั้งแรกบน CryptoSlate
คุณอาจชอบเช่นกัน
ความมองโลกในแง่ดีกลับคืนสู่ตลาดคริปโตเมื่อความตึงเครียดทางภูมิรัฐศาสตร์คลี่คลาย
เรียลอิหร่านร่วงลงสู่จุดต่ำสุดเป็นประวัติการณ์ขณะที่การใช้คริปโตพุ่งสูงขึ้น
