Користувачі MetaMask піддаються ризику нової фішингової схеми “2FA verification”, яка краде їхню мнемонічну фразу під виглядом покращення безпеки.
Коротко

• Користувачі MetaMask стають жертвами фішингової кампанії з фальшивим процесом перевірки 2FA.
• Нова кампанія з’явилася після масштабної експлуатації гаманця та інциденту з розширенням Trust Wallet для Chrome.

Згідно з даними компанії з безпеки блокчейну SlowMist, користувачі MetaMask отримують підроблений електронний лист, який створює хибне відчуття терміновості, спонукаючи їх увімкнути Двофакторну Аутентифікацію. Повідомлення має бренд MetaMask і здається переконливим на перший погляд. (Дивіться нижче.)
Підроблений лист, надісланий зловмисниками | Джерело: X/im23pds

Варто зазначити, що зловмисний сповіщувач також супроводжується таймером зворотного відліку, що збільшує тиск на користувача і намагається змусити його швидко реагувати.

При натисканні кнопки “Увімкнути 2FA зараз” користувачі перенаправляються на фальшиву сторінку, розміщену зловмисником. Однак у реальності весь процес — це шахрайство. Головна мета — змусити користувачів MetaMask ввести свою мнемонічну фразу, яку зловмисники можуть використати для доступу та переказу коштів з їхніх гаманців. (Дивіться нижче.)
Шкідливий сайт, що просить користувачів ввести свою seed фразу | Джерело: X/im23pds

Хоча на перший погляд менш обережний користувач може повірити цій схемі, у підробленому листі є кілька ознак, які допомагають виявити шахрайство.

Наприклад, такі фішингові повідомлення часто містять тонкі орфографічні помилки або розбіжності у дизайні, що можуть розкрити їхню справжню природу. У цьому випадку URL, на який перенаправляли користувачів MetaMask, був написаний як “mertamask” замість “metamask”. У деяких випадках ці листи також надходять з зовсім несхожих електронних адрес або з адрес, що використовують публічні домени, такі як Gmail. (Дивіться нижче.)
Орфографічні помилки у підроблених листах | Джерело: X/im23pds

Насамкінець, важливо пам’ятати, що MetaMask не надсилає непрошені листи з проханням підтвердити обліковий запис або оновити безпеку. Будь-які такі запити зазвичай є шахрайськими.

Останні фішингові кампанії, спрямовані на користувачів криптовалют

Наприкінці минулого тижня дослідник кібербезпеки Володимир С. повідомив про схожу кампанію, яка поширювала фальшиве оновлення додатку MetaMask. Вважається, що вона пов’язана з поточним експлуатаційним вразливістю, що зливає гаманці.

Згідно з даними слідчого ZachXBT, інцидент призвів до збитків менше ніж $2,000 на кожен гаманець, але торкнувся широкого кола користувачів у кількох мережах, сумісних з EVM. Однак не підтверджено, чи дійсно ці дві кампанії пов’язані між собою.

Інцидент також був пов’язаний з хакерською атакою на Trust Wallet, яка сталася у Різдво, де збитки сягнули приблизно $7 мільйонів.

Зловмисник отримав доступ до вихідного коду розширення браузера гаманця і завантажив шкідливу версію розширення до Chrome Web Store. Trust Wallet пообіцяв компенсувати всіх користувачів, яких торкнулася ця інцидент.

Окремо користувачі Cardano також були попереджені про іншу поточну атаку, яка поширювала електронні листи з пропагандою шахрайського додатку Eternl Desktop.

Незважаючи на те, що ці події відбувалися менш ніж за два тижні, нещодавній звіт Scam Sniffer показав, що загальні збитки від криптофішингу зменшилися майже на 88% у 2025 році порівняно з попереднім роком.