Les utilisateurs de MetaMask sont exposés à une nouvelle escroquerie de phishing “vérification 2FA” qui vole leur phrase de récupération sous prétexte d’améliorer la sécurité.
Résumé

• Les utilisateurs de MetaMask sont ciblés par une campagne de phishing impliquant un faux processus de vérification 2FA.
• La nouvelle campagne fait suite à une exploitation à grande échelle de portefeuilles et à l’incident de l’extension Chrome Trust Wallet.

Selon la société de sécurité blockchain SlowMist, les utilisateurs de MetaMask reçoivent un email falsifié qui crée un faux sentiment d’urgence en leur demandant d’activer l’authentification à deux facteurs. Le message est marqué MetaMask et semble convaincant à première vue. (Voir ci-dessous.)
Un email de spoofing envoyé par des attaquants | Source : X/im23pds

Il est à noter que le notificateur malveillant est également accompagné d’un compte à rebours, ce qui augmente la pression sur l’utilisateur et tente de forcer une réponse rapide.

En cliquant sur le bouton “Activer 2FA Maintenant”, les utilisateurs sont redirigés vers une fausse page hébergée par l’attaquant. Cependant, en réalité, tout le processus n’est qu’une imposture. L’objectif principal est de tromper les utilisateurs de MetaMask pour qu’ils entrent leur phrase mnémotechnique, que les attaquants peuvent utiliser pour accéder et transférer des fonds depuis leurs portefeuilles. (Voir ci-dessous.)
Site web malveillant demandant aux utilisateurs d’entrer leur phrase de récupération | Source : X/im23pds

Bien qu’à première vue un utilisateur moins prudent puisse tomber dans le panneau, l’email de spoofing comporte plusieurs indices qui peuvent aider les utilisateurs à repérer la fraude.

Par exemple, ces messages de phishing incluent souvent des fautes de frappe subtiles ou des incohérences dans la conception qui peuvent révéler leur véritable nature. Dans ce cas, l’URL vers laquelle les utilisateurs de MetaMask ont été redirigés était orthographiée “mertamask” au lieu de “metamask”. Dans certains cas, ces emails sont également envoyés depuis des comptes email totalement non liés, ou depuis des adresses utilisant des domaines publics comme Gmail. (Voir ci-dessous.)
Fautes de frappe dans les emails de spoofing | Source : X/im23pds

Enfin, il est important de se rappeler que MetaMask n’envoie pas d’emails non sollicités demandant aux utilisateurs de vérifier leurs comptes ou d’effectuer des mises à jour de sécurité. Toute demande de ce type est généralement une arnaque.

Campagnes de phishing récentes ciblant les utilisateurs de crypto

La fin de la semaine dernière, le chercheur en cybersécurité Vladimir S. a signalé une campagne similaire qui a diffusé une fausse mise à jour de l’application MetaMask. On pense qu’elle est liée à une exploitation en cours visant à vider des portefeuilles.

Selon le détective en chaîne ZachXBT, l’incident a entraîné des pertes inférieures à 2 000 $ par portefeuille mais a affecté un large éventail d’utilisateurs sur plusieurs réseaux compatibles EVM. Cependant, il n’a pas été confirmé si les deux campagnes sont définitivement liées.

L’incident a également été lié au piratage de Trust Wallet survenu le jour de Noël, où les pertes ont atteint environ $7 millions.

L’attaquant a réussi à accéder au code source de l’extension de navigateur du portefeuille et a téléchargé une version malveillante de l’extension sur le Chrome Web Store. Trust Wallet a promis de compenser tous les utilisateurs affectés par l’incident.

Par ailleurs, les utilisateurs de Cardano ont également été avertis d’une autre attaque en cours qui a circulé par email pour promouvoir une application frauduleuse Eternl Desktop.

Malgré ces événements tous survenus en moins de deux semaines, un rapport récent de Scam Sniffer a montré que les pertes totales dues aux campagnes de phishing crypto ont chuté de près de 88 % en 2025 par rapport à l’année précédente.