Les utilisateurs de MetaMask sont confrontés à une nouvelle escroquerie de phishing 2FA, selon SlowMist

• Les attaquants usurpent les alertes MetaMask et de fausses pages 2FA pour voler les phrases de récupération.
• Le domaine Mertamask utilise le typosquatting et des tactiques d’urgence pour tromper les utilisateurs.

Une nouvelle vague de tentatives de phishing revient vers les utilisateurs de MetaMask, cette fois avec une configuration plus soignée et coordonnée. Le Directeur de la sécurité de l’information de SlowMist (CISO) a tiré la sonnette d’alarme concernant une nouvelle arnaque présentée comme une “vérification 2FA”, conçue pour paraître bien plus légitime que les attaques précédentes. Cette méthode imite le flux de sécurité officiel et dirige les victimes vers de faux sites web, dont l’un est “Mertamask”. C’est là que de nombreux utilisateurs se retrouvent démunis, car l’interface et le récit semblent provenir du système même de MetaMask.

🚨MetaMask 出现新型 ‘2FA 安全验证’ 骗局 @MetaMask @tayvano_
注意防范 pic.twitter.com/RJM78If9zb

— 23pds (山哥) (@im23pds) 5 janvier 2026

Le schéma commence généralement par une fausse notification de sécurité envoyée par email, avertissant d’une activité suspecte dans le portefeuille de l’utilisateur. Le message ne perd pas de temps, incitant le destinataire à “vérifier” immédiatement. Cependant, au lieu de se rendre sur la page officielle, les utilisateurs sont redirigés vers un domaine Mertamask délibérément similaire. De petites modifications dans la rédaction sont faciles à manquer, surtout lorsqu’un avertissement urgent pousse quelqu’un à paniquer. Une fois qu’ils cliquent, les victimes atterrissent sur une fausse page 2FA équipée d’un compte à rebours destiné à augmenter la pression.

Image de X

Les utilisateurs de MetaMask trompés pour remettre leurs phrases de récupération Sur la fausse page, les utilisateurs sont invités à suivre des étapes apparemment logiques. Cependant, à la dernière étape, le site demande une phrase de récupération ou une phrase de semence. C’est là que réside le cœur de l’arnaque. MetaMask ne demande jamais une phrase de semence pour vérification, mises à jour ou toute autre raison de sécurité. Une fois la phrase saisie, le contrôle du portefeuille est immédiatement transféré. De plus, le processus de drain d’actifs est généralement rapide et silencieux, les victimes ne réalisant la fraude qu’après que leurs soldes ont été considérablement réduits. Fait intéressant, cette approche marque un changement dans l’objectif des fraudeurs. Alors que précédemment de nombreuses attaques reposaient sur des messages aléatoires ou des visuels superficiels, maintenant les visuels et le flux sont beaucoup plus convaincants. De plus, la pression psychologique est devenue une arme principale. Les récits de menace, les limites de temps et une apparence professionnelle incitent les utilisateurs de MetaMask à agir de manière réflexe, plutôt que rationnelle. Les signatures de contrats malveillants permettent un vol silencieux d’actifs Ce faux schéma 2FA est apparu dans un contexte de hausse d’autres attaques de phishing ciblant également l’écosystème EVM. Récemment, des centaines de portefeuilles EVM, principalement des utilisateurs de MetaMask, ont été victimes d’emails frauduleux affirmant une “mise à jour obligatoire”. Dans ces cas, les victimes n’étaient pas invitées à fournir leur phrase de semence, mais ont été incitées à signer un contrat malveillant. Plus de 107 000 $ ont été volés en petites quantités à partir de chaque portefeuille, une stratégie qui rend la détection du vol difficile individuellement. Ce modèle exploite la rapidité des signatures de transaction, plutôt que le vol direct de la phrase de semence. D’autre part, le 9 décembre, nous avons rapporté que MetaMask avait étendu ses échanges inter-chaînes via son infrastructure de routage multi-chaînes Rango. Ce qui a commencé avec l’EVM et Solana s’est maintenant étendu à Bitcoin, offrant aux utilisateurs une portée inter-chaînes encore plus large. Quelques jours plus tôt, le 5 décembre, nous avions également mis en avant l’intégration directe de Polymarket dans MetaMask Mobile, permettant aux utilisateurs de participer à des marchés de prédiction sans quitter l’application et de gagner des récompenses MetaMask. Enfin, fin novembre, nous avions couvert la fonctionnalité de trading perpétuel sur actions en chaîne dans MetaMask Mobile, qui donne accès à des positions longues et courtes sur une variété d’actifs mondiaux avec des options de levier.