Дослідник безпеки ончейн ZachXBT виявив сотні гаманців у різних EVM-мережах, які було спустошено на невеликі суми, зазвичай менше $2,000 на жертву, які стікали на одну підозрілу адресу.
Загальна сума крадіжки перевищила $107,000 і продовжувала зростати. Первинна причина все ще невідома, але користувачі повідомляли про отримання фішингового листа, замаскованого під обов'язкове оновлення MetaMask, із логотипом лиса в святковому капелюшку та темою «З Новим роком!».
Ця атака відбулася, коли розробники були на канікулах, канали підтримки працювали мінімальним складом, а користувачі гортали поштові скриньки, заповнені новорічними акціями.
Зловмисники скористалися цим вікном. Невеликі суми на жертву свідчать про те, що зловмисник працює через дозволи на контракти, а не через повну компрометацію seed фрази в багатьох випадках, що тримає індивідуальні втрати нижче порогу, коли жертви негайно б'ють на сполох, але дозволяє зловмиснику масштабуватися на сотні гаманців.
Індустрія все ще опрацьовує окремий інцидент з розширенням браузера Trust Wallet, у якому шкідливий код у розширенні Chrome v2.68 збирав приватні ключі та спустошив щонайменше $8,5 мільйона з 2,520 гаманців, перш ніж Trust Wallet випустив патч до v2.69.
Два різних експлойти, один урок: кінцеві точки користувачів залишаються найслабшою ланкою.
Анатомія фішингового листа, що спрацьовує
Фішинговий лист у стилі MetaMask демонструє, чому ці атаки успішні.
Ідентифікатор відправника показує «MetaLiveChain», назву, яка звучить віддалено пов'язаною з DeFi, але не має жодного зв'язку з MetaMask.
Заголовок листа містить посилання для відписки на «[email protected]», розкриваючи, що зловмисник запозичив шаблони з легітимних маркетингових кампаній. Тіло містить логотип лиса MetaMask у святковому капелюшку, поєднуючи святковий настрій зі штучною терміновістю щодо «обов'язкового оновлення».
Ця комбінація обходить евристику, яку більшість користувачів застосовують до очевидних шахрайств.
Фішинговий лист видає себе за MetaMask із логотипом лиса в святковому капелюшку, неправдиво стверджуючи, що для доступу до акаунту потрібне «обов'язкове» оновлення системи 2026.Офіційна документація з безпеки MetaMask встановлює чіткі правила. Листи підтримки надходять лише з перевірених адрес, таких як [email protected], і ніколи зі сторонніх доменів.
Провайдер гаманця не надсилає непрохані листи з вимогою підтвердження або оновлення.
Крім того, жоден представник ніколи не запитає Secret Recovery Phrase. Проте ці листи працюють, тому що вони використовують розрив між тим, що користувачі знають інтелектуально, і тим, що вони роблять рефлекторно, коли надходить офіційно виглядаюче повідомлення.
Чотири сигнали викривають фішинг до того, як станеться шкода.
По-перше, невідповідність бренду-відправника, оскільки брендинг MetaMask від «MetaLiveChain» сигналізує про крадіжку шаблону. По-друге, штучна терміновість навколо обов'язкових оновлень, які MetaMask прямо заявляє, що не надсилатиме.
По-третє, URL-адреси призначення, які не відповідають заявленим доменам, наведення курсору перед кліком розкриває фактичну ціль. По-четверте, запити, що порушують основні правила гаманця, такі як запит seed фраз або запит на підписи непрозорих офчейн повідомлень.
Випадок ZachXBT демонструє механіку фішингу підпису. Жертви, які натиснули на фальшиве посилання для оновлення, ймовірно, підписали дозвіл на контракт, надаючи зловмиснику дозвіл переміщувати токени.
Цей один підпис відкрив двері для тривалої крадіжки в кількох мережах. Зловмисник обрав невеликі суми на гаманець, тому що дозволи на контракти часто мають необмежені ліміти витрат за замовчуванням, але спустошення всього викликало б негайні розслідування.
Розподіл крадіжки серед сотень жертв по $2,000 кожна проходить під індивідуальним радаром, накопичуючи при цьому шестизначні суми.
Відкликання дозволів та зменшення радіусу ураження
Як тільки натиснуто на фішингове посилання або підписано шкідливий дозвіл, пріоритет зміщується на стримування. MetaMask тепер дозволяє користувачам переглядати та відкликати дозволи на токени безпосередньо в MetaMask Portfolio.
Revoke.cash проводить користувачів через простий процес: підключіть свій гаманець, перевірте дозволи по мережі та надішліть транзакції відкликання для ненадійних контрактів.
Сторінка Token Approvals Etherscan пропонує ту саму функціональність для ручного відкликання дозволів ERC-20, ERC-721 та ERC-1155. Ці інструменти важливі, тому що жертви, які діють швидко, можуть перекрити доступ зловмисника до втрати всього.
Відмінність між компрометацією дозволу та компрометацією seed фрази визначає, чи можна врятувати гаманець. Керівництво з безпеки MetaMask проводить чітку межу: якщо ви підозрюєте, що ваша Secret Recovery Phrase була розкрита, негайно припиніть використовувати цей гаманець.
Створіть новий гаманець на свіжому пристрої, переведіть залишкові активи та розглядайте оригінальну seed як назавжди втрачену. Відкликання дозволів допомагає, коли зловмисник має лише дозволи на контракти; якщо ваша seed втрачена, весь гаманець повинен бути покинутий.
Chainalysis задокументував приблизно 158,000 компрометацій особистих гаманців, що зачепили щонайменше 80,000 людей у 2025 році, навіть коли загальна вкрадена вартість впала до приблизно $713 мільйонів.
Втрати особистих гаманців як частка загальної криптовалютної крадіжки зросли з приблизно 10% у 2022 році до майже 25% у 2025 році, за даними Chainalysis.Зловмисники атакують більше гаманців на менші суми, патерн, який визначив ZachXBT. Практичне значення: організація гаманців для обмеження радіусу ураження має таке ж значення, як і уникнення фішингу.
Один скомпрометований гаманець не повинен означати повну втрату портфоліо.
Побудова багатошарового захисту
Провайдери гаманців випустили функції, які стримали б цю атаку, якби були прийняті.
MetaMask тепер заохочує встановлення лімітів витрат на дозволи токенів замість прийняття дозволів «необмежених» за замовчуванням. Revoke.cash та панель Shield De.Fi виступають за те, щоб розглядати перегляди дозволів як рутинну гігієну разом із використанням апаратного гаманця для довгострокових вкладень.
MetaMask вмикає попередження про безпеку транзакцій від Blockaid за замовчуванням, позначаючи підозрілі контракти до виконання підписів.
Інцидент з розширенням Trust Wallet підкреслює необхідність багатошарового захисту. Цей експлойт обійшов рішення користувачів, і шкідливий код в офіційному списку Chrome автоматично збирав ключі.
Користувачі, які розділили активи між апаратними гаманцями (холодне зберігання), програмними гаманцями (теплі транзакції) та одноразовими гаманцями (експериментальні протоколи), обмежили вплив.
Ця трирівнева модель створює тертя, але тертя — це і є суть. Фішинговий лист, який захоплює одноразовий гаманець, коштує сотні або кілька тисяч доларів. Та сама атака проти одного гаманця, що містить весь портфель, коштує життєво важливих грошей.
Зловмисник ZachXBT досяг успіху, тому що націлився на шов між зручністю та безпекою. Більшість користувачів зберігають все в одному екземплярі MetaMask, тому що керування кількома гаманцями здається громіздким.
Зловмисник поставив на те, що професійно виглядаючий лист на Новий рік застане достатньо людей зненацька, щоб створити прибутковий обсяг. Ця ставка виправдалася, з $107,000 і продовжується.
Офіційне керівництво MetaMask визначає три червоні прапори фішингу: неправильні адреси відправника, непрохані термінові вимоги оновлення та запити Secret Recovery Phrases або паролів.Що на кону
Цей інцидент ставить глибше питання: хто несе відповідальність за безпеку кінцевих точок у світі самостійного зберігання?
Провайдери гаманців створюють антифішингові інструменти, дослідники публікують звіти про загрози, а регулятори попереджають споживачів. Проте зловмиснику знадобилися лише фальшивий лист, клонований логотип та контракт зловмисника, щоб скомпрометувати сотні гаманців.
Інфраструктура, яка забезпечує самостійне зберігання, транзакції без дозволу, псевдонімні адреси та незворотні перекази, також робить її невблаганною.
Індустрія розглядає це як проблему освіти: якщо користувачі перевіряли адреси відправників, наводили курсор на посилання та відкликали старі дозволи, атаки б провалилися.
Проте дані Chainalysis про 158,000 компрометацій свідчать про те, що одна освіта не масштабується. Зловмисники адаптуються швидше, ніж користувачі вчаться. Фішинговий лист MetaMask еволюціонував від грубих шаблонів «Ваш гаманець заблоковано!» до відполірованих сезонних кампаній.
Експлойт розширення Trust Wallet довів, що навіть обережні користувачі можуть втратити кошти, якщо канали розповсюдження будуть скомпрометовані.
Що працює: апаратні гаманці для значних вкладень, безжальне відкликання дозволів, сегрегація гаманців за профілем ризику та скептицизм до будь-якого непрошеного повідомлення від провайдерів гаманців.
Що не працює: припущення, що інтерфейси гаманців безпечні за замовчуванням, розгляд дозволів як одноразових рішень або консолідація всіх активів в одному гарячому гаманці для зручності. Зловмисник ZachXBT буде закритий, тому що адреса позначена, і біржі заморозять депозити.
Але наступного тижня запуститься інший зловмисник з трохи іншим шаблоном та новою адресою
контракту.
Цикл продовжується, поки користувачі не усвідомлять, що зручність криптовалюти створює поверхню атаки, яка врешті-решт буде використана. Вибір не між безпекою та зручністю використання, а радше між тертям зараз та втратою пізніше.
Джерело: https://cryptoslate.com/hundreds-of-evm-wallets-drained-what-to-check-before-you-update/
