Ratusan dompet MetaMask dikuras: Yang perlu diperiksa sebelum Anda 'memperbarui'

Peneliti keamanan on-chain ZachXBT menandai ratusan dompet di berbagai rantai EVM yang dikuras dalam jumlah kecil, biasanya di bawah $2.000 per korban, mengalir ke satu alamat mencurigakan.

Total pencurian melampaui $107.000 dan terus meningkat. Penyebab utamanya masih belum diketahui, tetapi pengguna melaporkan menerima email phishing yang menyamar sebagai upgrade wajib MetaMask, lengkap dengan logo rubah bertopi pesta dan baris subjek "Selamat Tahun Baru!"

Serangan ini tiba ketika developer sedang berlibur, saluran dukungan beroperasi dengan kru minimal, dan pengguna sedang menelusuri kotak masuk yang dipenuhi promosi Tahun Baru.

Penyerang mengeksploitasi jendela waktu itu. Jumlah kecil per korban menunjukkan drainer beroperasi dari persetujuan kontrak daripada kompromi seed-phrase penuh dalam banyak kasus, yang menjaga kerugian individu di bawah ambang batas di mana korban segera membunyikan alarm tetapi memungkinkan penyerang untuk skala di ratusan dompet.

Industri masih memproses insiden ekstensi browser Trust Wallet terpisah di mana kode berbahaya di ekstensi Chrome v2.68 memanen kunci pribadi dan menguras setidaknya $8,5 juta dari 2.520 dompet sebelum Trust Wallet menambal ke v2.69.

Dua eksploitasi berbeda, pelajaran yang sama: titik akhir pengguna tetap menjadi mata rantai terlemah.

Anatomi email phishing yang berhasil

Email phishing bertema MetaMask menunjukkan mengapa serangan ini berhasil.

Identitas pengirim menunjukkan "MetaLiveChain," nama yang terdengar samar-samar berkaitan dengan DeFi tetapi tidak memiliki koneksi dengan MetaMask.

Header email berisi tautan berhenti berlangganan untuk "reviews@yotpo.com," mengungkapkan bahwa penyerang mengangkat template dari kampanye pemasaran yang sah. Isinya menampilkan logo rubah MetaMask mengenakan topi pesta, memadukan keceriaan musiman dengan urgensi yang dibuat-buat tentang "pembaruan wajib."

Kombinasi itu melewati heuristik yang diterapkan sebagian besar pengguna pada penipuan yang jelas.

Dokumentasi keamanan resmi MetaMask menetapkan aturan yang jelas. Email dukungan hanya datang dari alamat yang terverifikasi, seperti support@metamask.io, dan tidak pernah dari domain pihak ketiga.

Penyedia dompet tidak mengirim email yang tidak diminta yang menuntut verifikasi atau upgrade.

Selain itu, tidak ada perwakilan yang akan meminta Secret Recovery Phrase. Namun email ini berhasil karena mereka mengeksploitasi kesenjangan antara apa yang diketahui pengguna secara intelektual dan apa yang mereka lakukan secara refleksif ketika pesan yang tampak resmi tiba.

Empat sinyal mengungkap phishing sebelum kerusakan terjadi.

Pertama, ketidaksesuaian merek-pengirim, karena branding MetaMask dari "MetaLiveChain" menandakan pencurian template. Kedua, urgensi yang dibuat-buat seputar pembaruan wajib yang MetaMask secara eksplisit mengatakan tidak akan dikirim.

Ketiga, URL tujuan yang tidak cocok dengan domain yang diklaim, mengarahkan kursor sebelum mengklik mengungkapkan target sebenarnya. Keempat, permintaan yang melanggar aturan inti dompet, seperti meminta seed phrase atau meminta tanda tangan pada pesan off-chain yang tidak jelas.

Kasus ZachXBT menunjukkan mekanika signature-phishing. Korban yang mengklik tautan upgrade palsu kemungkinan menandatangani persetujuan kontrak yang memberikan izin kepada drainer untuk memindahkan token.

Tanda tangan tunggal itu membuka pintu untuk pencurian berkelanjutan di berbagai rantai. Penyerang memilih jumlah kecil per dompet karena persetujuan kontrak sering membawa batas pengeluaran tanpa batas secara default, tetapi menguras semuanya akan memicu penyelidikan segera.

Menyebarkan pencurian di ratusan korban masing-masing $2.000 terbang di bawah radar individu sambil mengakumulasi total enam digit.

Mencabut persetujuan dan memperkecil radius ledakan

Setelah tautan phishing diklik atau persetujuan berbahaya ditandatangani, prioritas beralih ke penahanan. MetaMask sekarang memungkinkan pengguna melihat dan mencabut allowance token langsung di dalam MetaMask Portfolio.

Revoke.cash memandu pengguna melalui proses sederhana: hubungkan dompet Anda, periksa persetujuan per jaringan, dan kirim transaksi pencabutan untuk kontrak yang tidak dipercaya.

Halaman Token Approvals Etherscan menawarkan fungsionalitas yang sama untuk pencabutan manual persetujuan ERC-20, ERC-721, dan ERC-1155. Alat-alat ini penting karena korban yang bertindak cepat dapat memutus akses drainer sebelum kehilangan segalanya.

Perbedaan antara kompromi persetujuan dan kompromi seed-phrase menentukan apakah dompet dapat diselamatkan. Panduan keamanan MetaMask menarik garis tegas: jika Anda mencurigai Secret Recovery Phrase Anda telah terekspos, hentikan penggunaan dompet itu segera.

Buat dompet baru di perangkat segar, transfer aset yang tersisa, dan perlakukan seed asli sebagai terbakar secara permanen. Mencabut persetujuan membantu ketika penyerang hanya memegang izin kontrak; jika seed Anda hilang, seluruh dompet harus ditinggalkan.

Chainalysis mendokumentasikan sekitar 158.000 kompromi dompet pribadi yang mempengaruhi setidaknya 80.000 orang pada tahun 2025, meskipun total nilai yang dicuri turun menjadi sekitar $713 juta.

Penyerang menyerang lebih banyak dompet untuk jumlah yang lebih kecil, pola yang diidentifikasi ZachXBT. Implikasi praktis: mengorganisir dompet untuk membatasi radius ledakan sama pentingnya dengan menghindari phishing.

Satu dompet yang dikompromikan tidak boleh berarti kehilangan portofolio total.

Membangun pertahanan berlapis

Penyedia dompet telah mengirimkan fitur yang akan menahan serangan ini jika diadopsi.

MetaMask sekarang mendorong pengaturan batas pengeluaran pada persetujuan token daripada menerima izin "tanpa batas" default. Revoke.cash dan dasbor Shield De.Fi mengadvokasi perlakuan tinjauan persetujuan sebagai kebersihan rutin bersama dengan penggunaan dompet hardware untuk kepemilikan jangka panjang.

MetaMask mengaktifkan peringatan keamanan transaksi dari Blockaid secara default, menandai kontrak mencurigakan sebelum tanda tangan dieksekusi.

Insiden ekstensi Trust Wallet memperkuat kebutuhan untuk pertahanan berlapis. Eksploitasi itu melewati keputusan pengguna, dan kode berbahaya dalam daftar Chrome resmi secara otomatis memanen kunci.

Pengguna yang memisahkan kepemilikan di dompet hardware (penyimpanan dingin), dompet perangkat lunak (transaksi hangat), dan dompet burner (protokol eksperimental) membatasi eksposur.

Model tiga tingkat itu menciptakan gesekan, tetapi gesekan adalah intinya. Email phishing yang menangkap dompet burner menghabiskan ratusan atau beberapa ribu dolar. Serangan yang sama terhadap satu dompet yang memegang seluruh portofolio menghabiskan uang yang mengubah hidup.

Drainer ZachXBT berhasil karena menargetkan celah antara kenyamanan dan keamanan. Sebagian besar pengguna menyimpan semuanya dalam satu instance MetaMask karena mengelola beberapa dompet terasa merepotkan.

Penyerang bertaruh bahwa email yang tampak profesional pada Hari Tahun Baru akan menangkap cukup banyak orang lengah untuk menghasilkan volume yang menguntungkan. Taruhan itu membuahkan hasil, dengan $107.000 dan terus bertambah.

Yang dipertaruhkan

Insiden ini mengajukan pertanyaan yang lebih dalam: siapa yang bertanggung jawab atas keamanan titik akhir di dunia self-custodial?

Penyedia dompet membangun alat anti-phishing, peneliti menerbitkan laporan ancaman, dan regulator memperingatkan konsumen. Namun penyerang hanya membutuhkan email palsu, logo yang diklon, dan kontrak drainer untuk mengkompromikan ratusan dompet.

Infrastruktur yang memungkinkan self-custody, transaksi tanpa izin, alamat pseudonim, dan transfer yang tidak dapat dibatalkan juga membuatnya tidak memaafkan.

Industri memperlakukan ini sebagai masalah pendidikan: jika pengguna memverifikasi alamat pengirim, mengarahkan kursor ke tautan, dan mencabut persetujuan lama, serangan akan gagal.

Namun, data Chainalysis tentang 158.000 kompromi menunjukkan pendidikan saja tidak berskala. Penyerang beradaptasi lebih cepat daripada pengguna belajar. Email phishing MetaMask berkembang dari template kasar "Dompet Anda terkunci!" menjadi kampanye musiman yang dipoles.

Eksploitasi ekstensi Trust Wallet membuktikan bahwa bahkan pengguna yang hati-hati dapat kehilangan dana jika saluran distribusi dikompromikan.

Yang berhasil: dompet hardware untuk kepemilikan yang berarti, pencabutan persetujuan yang kejam, pemisahan dompet berdasarkan profil risiko, dan skeptisisme terhadap pesan yang tidak diminta dari penyedia dompet.

Yang tidak berhasil: mengasumsikan antarmuka dompet aman secara default, memperlakukan persetujuan sebagai keputusan satu kali, atau mengkonsolidasikan semua aset dalam satu hot wallet untuk kenyamanan. Drainer ZachXBT akan ditutup karena alamatnya ditandai, dan bursa akan membekukan deposit.

Tetapi drainer lain akan diluncurkan minggu depan dengan template yang sedikit berbeda dan alamat kontrak baru.

Siklus berlanjut sampai pengguna menginternalisasi bahwa kenyamanan crypto menciptakan permukaan serangan yang akhirnya dieksploitasi. Pilihannya bukan antara keamanan dan kegunaan, tetapi agak antara gesekan sekarang dan kerugian nanti.

Postingan Ratusan dompet MetaMask dikuras: Apa yang harus diperiksa sebelum Anda 'update' muncul pertama kali di CryptoSlate.