Os utilizadores do MetaMask estão em risco de um novo esquema de phishing de “verificação 2FA” que rouba a sua frase-semente sob o pretexto de melhorar a segurança.
Resumo

• Os utilizadores do MetaMask estão a ser alvo de uma campanha de phishing envolvendo um processo falso de verificação 2FA.
• A nova campanha surge na sequência de uma exploração de carteira em larga escala e do incidente da extensão Trust Wallet para Chrome.

De acordo com a empresa de segurança blockchain SlowMist, os utilizadores do MetaMask estão a receber um email falsificado que cria uma falsa sensação de urgência ao solicitar que ativem a Autenticação de Dois Fatores. A mensagem é com marca MetaMask e parece convincente à primeira vista. (Veja abaixo.)
Um email de spoofing enviado por atacantes | Fonte: X/im23pds

Notavelmente, o notificador malicioso também vem com um temporizador de contagem decrescente, o que aumenta a pressão sobre o utilizador e tenta forçar uma resposta rápida.

Ao clicar no botão “Ativar 2FA Agora”, os utilizadores são redirecionados para uma página falsa hospedada pelo atacante. No entanto, na realidade, todo o processo é uma farsa. O objetivo principal é enganar os utilizadores do MetaMask para que insiram a sua frase mnemónica, que os atacantes podem usar para aceder e transferir fundos das suas carteiras. (Veja abaixo.)
Website malicioso a pedir aos utilizadores que insiram a sua frase-semente | Fonte: X/im23pds

Embora à primeira vista um utilizador menos cauteloso possa cair neste esquema, o email de spoofing contém várias pistas que podem ajudar os utilizadores a identificar a fraude.

Por exemplo, estas mensagens de phishing muitas vezes incluem erros subtis ou inconsistências de design que podem revelar a sua verdadeira natureza. Neste caso, o URL para o qual os utilizadores do MetaMask foram redirecionados foi escrito como “mertamask” em vez de “metamask”. Em alguns casos, estes emails também são enviados de contas de email completamente não relacionadas, ou de endereços que usam domínios públicos como Gmail. (Veja abaixo.)
Erros de digitação em emails de spoofing | Fonte: X/im23pds

Por último, é importante lembrar que o MetaMask não envia emails não solicitados a pedir aos utilizadores que verifiquem as suas contas ou realizem atualizações de segurança. Quaisquer pedidos desse tipo são geralmente fraudes.

Campanhas recentes de phishing direcionadas a utilizadores de criptomoedas

No final da semana passada, o investigador de cibersegurança Vladimir S. alertou para uma campanha semelhante que promoveu uma atualização falsa da aplicação MetaMask. Acredita-se que esteja relacionada com uma exploração em curso que drena carteiras.

De acordo com o investigador na cadeia ZachXBT, o incidente resultou em perdas inferiores a $2.000 por carteira, afetando uma vasta gama de utilizadores em várias redes compatíveis com EVM. No entanto, ainda não foi confirmado se as duas campanhas estão definitivamente relacionadas.

O incidente também foi ligado ao hack da Trust Wallet ocorrido no dia de Natal, onde as perdas ascenderam a aproximadamente $7 milhão.

O atacante conseguiu aceder ao código fonte da extensão do navegador da carteira e carregou uma versão maliciosa da extensão na Chrome Web Store. A Trust Wallet comprometeu-se a compensar todos os utilizadores afetados pelo incidente.

Separadamente, utilizadores do Cardano também foram alertados sobre um ataque diferente em curso, que circulou emails promovendo uma aplicação fraudulenta Eternl Desktop.

Apesar de estes eventos terem ocorrido em menos de duas semanas, um relatório recente do Scam Sniffer mostrou que as perdas totais de campanhas de phishing de criptomoedas caíram quase 88% em 2025 em relação ao ano anterior.