Peneliti keamanan on-chain ZachXBT menandai ratusan dompet di berbagai rantai EVM yang dikuras dalam jumlah kecil, biasanya di bawah $2,000 per korban, yang mengalir ke satu alamat mencurigakan.
Total pencurian melampaui $107,000 dan terus meningkat. Penyebab utama masih belum diketahui, tetapi pengguna melaporkan menerima email phishing yang menyamar sebagai upgrade wajib MetaMask, lengkap dengan logo rubah bertopi pesta dan baris subjek "Happy New Year!".
Serangan ini tiba ketika pengembang sedang berlibur, saluran dukungan beroperasi dengan staf minimal, dan pengguna sedang menelusuri kotak masuk yang penuh dengan promosi Tahun Baru.
Penyerang mengeksploitasi celah tersebut. Jumlah kecil per korban menunjukkan drainer beroperasi dari persetujuan kontrak daripada kompromi seed-phrase penuh dalam banyak kasus, yang menjaga kerugian individu di bawah ambang batas di mana korban langsung membunyikan alarm tetapi memungkinkan penyerang untuk meningkatkan skala di ratusan dompet.
Industri masih memproses insiden ekstensi browser Trust Wallet terpisah di mana kode jahat dalam ekstensi Chrome v2.68 memanen kunci privat dan menguras setidaknya $8,5 juta dari 2,520 dompet sebelum Trust Wallet merilis patch v2.69.
Dua eksploitasi berbeda, pelajaran yang sama: endpoint pengguna tetap menjadi mata rantai terlemah.
Anatomi email phishing yang berhasil
Email phishing bertema MetaMask menunjukkan mengapa serangan ini berhasil.
Identitas pengirim menunjukkan "MetaLiveChain," nama yang terdengar samar-samar terkait DeFi tetapi tidak memiliki koneksi dengan MetaMask.
Header email berisi tautan berhenti berlangganan untuk "[email protected]," mengungkapkan bahwa penyerang mengambil template dari kampanye pemasaran yang sah. Isi menampilkan logo rubah MetaMask mengenakan topi pesta, memadukan keceriaan musiman dengan urgensi yang dibuat-buat tentang "pembaruan wajib."
Kombinasi itu melewati heuristik yang diterapkan sebagian besar pengguna terhadap penipuan yang jelas.
Email phishing menyamar sebagai MetaMask dengan logo rubah bertopi pesta, dengan keliru mengklaim upgrade sistem "wajib" 2026 diperlukan untuk akses akun.Dokumentasi keamanan resmi MetaMask menetapkan aturan yang jelas. Email dukungan hanya datang dari alamat terverifikasi, seperti [email protected], dan tidak pernah dari domain pihak ketiga.
Penyedia dompet tidak mengirim email yang tidak diminta yang menuntut verifikasi atau upgrade.
Selain itu, tidak ada perwakilan yang akan meminta Secret Recovery Phrase. Namun email ini berhasil karena mengeksploitasi kesenjangan antara apa yang pengguna ketahui secara intelektual dan apa yang mereka lakukan secara refleksif ketika pesan yang terlihat resmi tiba.
Empat sinyal mengungkap phishing sebelum kerusakan terjadi.
Pertama, ketidakcocokan merek-pengirim, karena branding MetaMask dari "MetaLiveChain" menandakan pencurian template. Kedua, urgensi yang dibuat-buat seputar pembaruan wajib yang secara eksplisit dikatakan MetaMask tidak akan dikirim.
Ketiga, URL tujuan yang tidak sesuai dengan domain yang diklaim, mengarahkan kursor sebelum mengklik mengungkapkan target sebenarnya. Keempat, permintaan yang melanggar aturan inti dompet, seperti meminta seed phrase atau meminta tanda tangan pada pesan off-chain yang tidak jelas.
Kasus ZachXBT menunjukkan mekanik signature-phishing. Korban yang mengklik tautan upgrade palsu kemungkinan menandatangani persetujuan kontrak yang memberikan izin drainer untuk memindahkan token.
Tanda tangan tunggal itu membuka pintu untuk pencurian berkelanjutan di berbagai rantai. Penyerang memilih jumlah kecil per dompet karena persetujuan kontrak sering membawa batas pengeluaran tidak terbatas secara default, tetapi menguras semuanya akan memicu investigasi segera.
Menyebarkan pencurian di ratusan korban masing-masing $2,000 terbang di bawah radar individu sambil mengakumulasi total enam digit.
Mencabut persetujuan dan menyusutkan blast radius
Setelah tautan phishing diklik atau persetujuan jahat ditandatangani, prioritas beralih ke penahanan. MetaMask sekarang memungkinkan pengguna melihat dan mencabut kelonggaran token langsung di dalam MetaMask Portfolio.
Revoke.cash memandu pengguna melalui proses sederhana: hubungkan dompet Anda, periksa persetujuan per jaringan, dan kirim transaksi pencabutan untuk kontrak yang tidak tepercaya.
Halaman Token Approvals Etherscan menawarkan fungsionalitas yang sama untuk pencabutan manual persetujuan ERC-20, ERC-721, dan ERC-1155. Alat ini penting karena korban yang bertindak cepat dapat memutus akses drainer sebelum kehilangan semuanya.
Perbedaan antara kompromi persetujuan dan kompromi seed-phrase menentukan apakah dompet dapat diselamatkan. Panduan keamanan MetaMask menarik garis tegas: jika Anda mencurigai Secret Recovery Phrase Anda telah terungkap, hentikan penggunaan dompet itu segera.
Buat dompet baru di perangkat baru, transfer aset yang tersisa, dan perlakukan seed asli sebagai terbakar permanen. Mencabut persetujuan membantu ketika penyerang hanya memegang izin kontrak; jika seed Anda hilang, seluruh dompet harus ditinggalkan.
Chainalysis mendokumentasikan sekitar 158,000 kompromi dompet pribadi yang memengaruhi setidaknya 80,000 orang pada tahun 2025, meskipun total nilai yang dicuri turun menjadi sekitar $713 juta.
Kerugian dompet pribadi sebagai bagian dari total pencurian kripto naik dari sekitar 10% pada tahun 2022 menjadi hampir 25% pada tahun 2025, menurut data Chainalysis.Penyerang mengenai lebih banyak dompet untuk jumlah yang lebih kecil, pola yang diidentifikasi ZachXBT. Implikasi praktis: mengatur dompet untuk membatasi blast radius sama pentingnya dengan menghindari phishing.
Satu dompet yang dikompromikan tidak boleh berarti kehilangan portofolio total.
Membangun defense-in-depth
Penyedia dompet telah mengirimkan fitur yang akan menahan serangan ini jika diadopsi.
MetaMask sekarang mendorong pengaturan batas pengeluaran pada persetujuan token daripada menerima izin "tidak terbatas" default. Revoke.cash dan dasbor Shield De.Fi menganjurkan memperlakukan tinjauan persetujuan sebagai kebersihan rutin bersama dengan penggunaan dompet perangkat keras untuk kepemilikan jangka panjang.
MetaMask mengaktifkan peringatan keamanan transaksi dari Blockaid secara default, menandai kontrak mencurigakan sebelum tanda tangan dieksekusi.
Insiden ekstensi Trust Wallet memperkuat kebutuhan untuk defense-in-depth. Eksploitasi itu melewati keputusan pengguna, dan kode jahat dalam daftar Chrome resmi secara otomatis memanen kunci.
Pengguna yang memisahkan kepemilikan di dompet perangkat keras (cold storage), dompet perangkat lunak (transaksi hangat), dan dompet pembakar (protokol eksperimental) membatasi eksposur.
Model tiga tingkat itu menciptakan gesekan, tetapi gesekan adalah poinnya. Email phishing yang menangkap dompet pembakar menghabiskan ratusan atau beberapa ribu dolar. Serangan yang sama terhadap satu dompet yang menyimpan seluruh portofolio menghabiskan uang yang mengubah hidup.
Drainer ZachXBT berhasil karena menargetkan celah antara kenyamanan dan keamanan. Sebagian besar pengguna menyimpan semuanya dalam satu instance MetaMask karena mengelola beberapa dompet terasa merepotkan.
Penyerang bertaruh bahwa email yang terlihat profesional pada Hari Tahun Baru akan menangkap cukup banyak orang lengah untuk menghasilkan volume yang menguntungkan. Taruhan itu terbayar, dengan $107,000 dan terus bertambah.
Panduan resmi MetaMask mengidentifikasi tiga tanda merah phishing: alamat pengirim yang salah, permintaan upgrade mendesak yang tidak diminta, dan permintaan Secret Recovery Phrases atau kata sandi.Apa yang dipertaruhkan
Insiden ini mengajukan pertanyaan yang lebih dalam: siapa yang bertanggung jawab atas keamanan endpoint dalam dunia self-custodial?
Penyedia dompet membangun alat anti-phishing, peneliti menerbitkan laporan ancaman, dan regulator memperingatkan konsumen. Namun penyerang hanya membutuhkan email palsu, logo yang dikloning, dan kontrak drainer untuk mengkompromikan ratusan dompet.
Infrastruktur yang memungkinkan self-custody, transaksi tanpa izin, alamat pseudonim, dan transfer yang tidak dapat diubah juga membuatnya tidak kenal ampun.
Industri memperlakukan ini sebagai masalah pendidikan: jika pengguna memverifikasi alamat pengirim, mengarahkan kursor ke tautan, dan mencabut persetujuan lama, serangan akan gagal.
Namun, data Chainalysis tentang 158,000 kompromi menunjukkan pendidikan saja tidak cukup berskala. Penyerang beradaptasi lebih cepat daripada pengguna belajar. Email phishing MetaMask berkembang dari template kasar "Dompet Anda terkunci!" menjadi kampanye musiman yang dipoles.
Eksploitasi ekstensi Trust Wallet membuktikan bahwa bahkan pengguna yang berhati-hati dapat kehilangan dana jika saluran distribusi dikompromikan.
Apa yang berhasil: dompet perangkat keras untuk kepemilikan yang berarti, pencabutan persetujuan tanpa ampun, pemisahan dompet berdasarkan profil risiko, dan skeptisisme terhadap pesan yang tidak diminta dari penyedia dompet.
Apa yang tidak berhasil: menganggap antarmuka dompet aman secara default, memperlakukan persetujuan sebagai keputusan satu kali, atau mengkonsolidasikan semua aset dalam satu hot wallet untuk kenyamanan. Drainer ZachXBT akan ditutup karena alamat ditandai, dan bursa akan membekukan deposit.
Tetapi drainer lain akan diluncurkan minggu depan dengan template yang sedikit berbeda dan alamat kontrak
baru.
Siklus berlanjut sampai pengguna menginternalisasi bahwa kenyamanan kripto menciptakan permukaan serangan yang akhirnya dieksploitasi. Pilihannya bukan antara keamanan dan kegunaan, tetapi agak antara gesekan sekarang dan kerugian nanti.
Sumber: https://cryptoslate.com/hundreds-of-evm-wallets-drained-what-to-check-before-you-update/
