Os utilizadores do MetaMask enfrentam uma nova fraude de phishing com 2FA, diz a SlowMist

• Atacantes falsificam alertas do MetaMask e páginas falsas de 2FA para roubar frases-semente.
• O domínio Mertamask usa typosquatting e táticas de urgência para enganar os utilizadores.

Uma nova vaga de tentativas de phishing está a voltar a direcionar-se aos utilizadores do MetaMask, desta vez com uma configuração mais polida e coordenada. O Diretor de Segurança da Informação da SlowMist (CISO) alertou para um novo esquema, enquadrado como uma “verificação 2FA”, criado para parecer muito mais legítimo do que ataques anteriores. Este método imita o fluxo de segurança oficial e direciona as vítimas para sites falsos, um dos quais é “Mertamask”. É aqui que muitos utilizadores ficam desprevenidos, pois a interface e a narrativa parecem originar-se do próprio sistema do MetaMask.

🚨MetaMask 出现新型 ‘2FA 安全验证’ 骗局 @MetaMask @tayvano_
注意防范 pic.twitter.com/RJM78If9zb

— 23pds (山哥) (@im23pds) 5 de janeiro de 2026

O esquema geralmente começa com um aviso de segurança falso enviado por email, alertando para uma atividade suspeita na carteira do utilizador. A mensagem não perde tempo, instando o destinatário a “verificar” imediatamente. No entanto, em vez de aceder à página oficial, os utilizadores são redirecionados para um domínio Mertamask deliberadamente semelhante. Pequenas alterações na escrita são fáceis de passar despercebidas, especialmente quando um aviso urgente leva alguém ao modo de pânico. Assim que clicam, as vítimas chegam a uma página falsa de 2FA equipada com uma contagem decrescente, destinada a aumentar a pressão.

Imagem do X

Utilizadores do MetaMask enganados a entregar frases de recuperação Na página falsa, os utilizadores são convidados a seguir passos aparentemente lógicos. No entanto, na fase final, o site pede uma frase de recuperação ou frase-semente. É aqui que reside o núcleo do esquema. O MetaMask nunca pede uma frase-semente para verificação, atualizações ou qualquer outra razão de segurança. Assim que a frase é inserida, o controlo da carteira é imediatamente transferido. Não só isso, o processo de drenagem de ativos costuma ser rápido e silencioso, com as vítimas a perceberem só depois de os seus saldos terem sido drasticamente reduzidos. Curiosamente, esta abordagem marca uma mudança no foco dos fraudadores. Enquanto anteriormente muitos ataques dependiam de mensagens aleatórias ou visuais superficiais, agora os visuais e o fluxo são muito mais convincentes. Além disso, a pressão psicológica tornou-se uma arma principal. Narrativas de ameaça, limites de tempo e uma aparência profissional combinam para fazer os utilizadores do MetaMask agir por reflexo, em vez de racionalmente. Assinaturas de contratos maliciosos permitem roubo silencioso de ativos Este esquema falso de 2FA surgiu numa onda de outros ataques de phishing também direcionados ao ecossistema EVM. Recentemente, centenas de carteiras EVM, principalmente utilizadores do MetaMask, foram vítimas de emails fraudulentos alegando uma “atualização obrigatória”. Nestes casos, as vítimas não foram solicitadas a fornecer a frase-semente, mas sim atraídas a assinar um contrato malicioso. Foram roubados mais de $107.000 em pequenas quantidades de cada carteira, uma estratégia que torna o roubo difícil de detectar individualmente. Este padrão explora a velocidade das assinaturas de transação, em oposição ao roubo direto da frase-semente. Por outro lado, a 9 de dezembro, reportámos que o MetaMask tinha expandido as trocas entre cadeias através da infraestrutura de roteamento multi-cadeia Rango. O que começou com o EVM e Solana, agora expandiu-se para o Bitcoin, oferecendo aos utilizadores um alcance entre cadeias ainda maior. Alguns dias antes, a 5 de dezembro, também destacámos a integração direta do Polymarket no MetaMask Mobile, permitindo aos utilizadores participar em mercados de previsão sem sair da aplicação e ganhar Recompensas MetaMask. Além disso, no final de novembro, abordámos a funcionalidade de negociação perpétua de ações na cadeia no MetaMask Mobile, que permite acesso a posições longas e curtas em uma variedade de ativos globais com opções de alavancagem.