Pengguna MetaMask berisiko menjadi sasaran penipuan phishing "verifikasi 2FA" baru yang mencuri seed phrase mereka dengan dalih meningkatkan keamanan.

Menurut perusahaan keamanan blockchain SlowMist, pengguna MetaMask menerima email palsu yang menciptakan rasa urgensi dengan meminta mereka mengaktifkan Autentikasi Dua Faktor. Pesan tersebut bermerek MetaMask dan terlihat meyakinkan pada pandangan pertama. (Lihat di bawah.)

Yang perlu dicatat, notifikasi berbahaya ini juga dilengkapi dengan penghitung waktu mundur, yang meningkatkan tekanan pada pengguna dan mencoba memaksa respons cepat.

Setelah mengklik tombol "Enable 2FA Now", pengguna diarahkan ke halaman palsu yang dihosting oleh penyerang. Namun, pada kenyataannya, seluruh proses ini adalah tipuan. Tujuan utamanya adalah menipu pengguna MetaMask agar memasukkan mnemonic phrase mereka, yang dapat digunakan penyerang untuk mengakses dan mentransfer dana dari wallet mereka. (Lihat di bawah.)

Meskipun pada pandangan pertama pengguna yang kurang berhati-hati mungkin tertipu oleh skema ini, email palsu tersebut mengandung beberapa petunjuk yang dapat membantu pengguna mengenali penipuan.

Misalnya, pesan phishing semacam itu sering kali menyertakan kesalahan ketik halus atau inkonsistensi desain yang dapat mengungkapkan sifat sebenarnya. Dalam kasus ini, URL tempat pengguna MetaMask diarahkan dieja sebagai "mertamask" bukan "metamask." Dalam beberapa kasus, email ini juga dikirim dari akun email yang sama sekali tidak terkait, atau dari alamat yang menggunakan domain publik seperti Gmail. (Lihat di bawah.)

Terakhir, penting untuk diingat bahwa MetaMask tidak mengirimkan email yang tidak diminta untuk meminta pengguna memverifikasi akun mereka atau melakukan pembaruan keamanan. Permintaan semacam itu biasanya adalah penipuan.

Kampanye phishing terbaru yang menargetkan pengguna kripto

Akhir minggu lalu, peneliti keamanan siber Vladimir S. menandai kampanye serupa yang mendorong pembaruan aplikasi MetaMask palsu. Diyakini terkait dengan eksploitasi pengurasan wallet yang sedang berlangsung.

Menurut detektif on-chain ZachXBT, insiden tersebut mengakibatkan kerugian kurang dari $2.000 per wallet tetapi mempengaruhi berbagai pengguna di beberapa jaringan yang kompatibel dengan EVM. Namun, belum dikonfirmasi apakah kedua kampanye tersebut pasti terhubung.

Insiden tersebut juga dikaitkan dengan peretasan Trust Wallet yang terjadi pada Hari Natal, di mana kerugian mencapai sekitar $7 juta. 

Penyerang berhasil mendapatkan akses ke kode sumber ekstensi browser wallet dan mengunggah versi berbahaya dari ekstensi tersebut ke Chrome Web Store. Trust Wallet telah berjanji untuk mengompensasi semua pengguna yang terkena dampak insiden tersebut.

Secara terpisah, pengguna Cardano juga diperingatkan tentang serangan berbeda yang sedang berlangsung yang menyebarkan email yang mempromosikan aplikasi Eternl Desktop palsu.

Meskipun semua peristiwa ini terjadi dalam waktu kurang dari dua minggu, laporan Scam Sniffer terbaru menunjukkan bahwa total kerugian dari kampanye phishing kripto turun hampir 88% pada tahun 2025 dibandingkan tahun sebelumnya.