Пользователи MetaMask подвержены новой фишинговой схеме «2FA verification», которая крадет их seed-фразу под видом повышения безопасности.
Краткое содержание

• Пользователи MetaMask становятся жертвами фишинговой кампании с участием поддельного процесса проверки 2FA.
• Новая кампания последовала за масштабной уязвимостью кошелька и инцидентом с расширением Trust Wallet для Chrome.

По данным компании по безопасности блокчейна SlowMist, пользователи MetaMask получают поддельное письмо, создающее ложное ощущение срочности, побуждая их включить двухфакторную аутентификацию. Сообщение брендировано MetaMask и кажется убедительным на первый взгляд. (Смотрите ниже.)
Поддельное письмо, отправленное злоумышленниками | Источник: X/im23pds

Особенно стоит отметить, что вредоносное уведомление сопровождается таймером обратного отсчета, что увеличивает давление на пользователя и пытается заставить его быстро реагировать.

При нажатии на кнопку «Включить 2FA сейчас» пользователь перенаправляется на фальшивую страницу, размещенную злоумышленником. Однако на самом деле весь процесс — обман. Основная цель — заставить пользователей MetaMask ввести свою мнемоническую фразу, которую злоумышленники могут использовать для доступа и перевода средств с их кошельков. (Смотрите ниже.)
Вредоносный сайт, запрашивающий у пользователей seed-фразу | Источник: X/im23pds

Хотя на первый взгляд менее осторожный пользователь может повестись на эту схему, в поддельных письмах есть несколько признаков, которые помогают распознать мошенничество.

Например, такие фишинговые сообщения часто содержат тонкие опечатки или несоответствия в дизайне, которые могут раскрыть их истинную природу. В данном случае URL, на который перенаправлялись пользователи MetaMask, был написан как «mertamask» вместо «metamask». В некоторых случаях такие письма также отправляются с совершенно несвязанных электронных адресов или с адресов, использующих публичные домены, такие как Gmail. (Смотрите ниже.)
Опечатки в поддельных письмах | Источник: X/im23pds

Наконец, важно помнить, что MetaMask не отправляет нежелательные письма с просьбами подтвердить аккаунт или выполнить обновление безопасности. Любые такие запросы — обычно мошенничество.

Недавние фишинговые кампании, нацеленные на крипто-пользователей

На прошлой неделе исследователь кибербезопасности Владимир С. отметил похожую кампанию, которая распространяла фальшивое обновление приложения MetaMask. Предполагается, что она связана с продолжающейся уязвимостью, которая позволяет красть средства с кошельков.

По словам аналитика ZachXBT, инцидент привел к потерям менее 2000 долларов на кошелек, но затронул широкий круг пользователей в нескольких сетях, совместимых с EVM. Однако подтверждения о связи двух кампаний пока нет.

Этот инцидент также был связан с взломом Trust Wallet, произошедшим в рождественский день, когда убытки достигли примерно $7 миллионов.

Злоумышленник получил доступ к исходному коду расширения браузера кошелька и загрузил вредоносную версию расширения в Chrome Web Store. Trust Wallet пообещала компенсировать всех пострадавших пользователей.

Отдельно пользователи Cardano также были предупреждены о другой текущей атаке, в рамках которой распространялись электронные письма с рекламой мошеннического приложения Eternl Desktop.

Несмотря на то, что все эти события произошли менее чем за две недели, последний отчет Scam Sniffer показал, что общие потери от крипто-фишинговых кампаний в 2025 году снизились почти на 88% по сравнению с предыдущим годом.