警惕！偽装MetaMaskのフィッシングメールによる数百のウォレット盗難と10万ドル超の損失

近日、ZachXBTは広範囲に及ぶ暗号ウォレットの盗難事件を暴露し、総損失額は10.7万ドルを超えました。

これまでの大規模資産攻撃とは異なり、今回は攻撃者が「広範囲に撒く」戦略を採用し、数百のウォレットから各々2000ドル未満の小額資産を盗み出しました。この方法は警報を引き起こしにくく、少しずつ積み重なり、攻撃が静かに拡大しています。

この攻撃が成功した理由は、新年休暇期間中に開発者やカスタマーサポートチームの人手不足、ユーザーの受信箱がプロモーションメールでいっぱいになり、警戒心が大きく低下したことにあります。攻撃者はこの機会を狙い、巧妙に偽装されたフィッシングメールを送信しました。

攻撃者は、MetaMaskのクリスマス限定ロゴを模したロゴを使用し、「強制アップデート + 新年おめでとう」をテーマに、公式の緊急性を装い、多くのユーザーにリンクをクリックさせる誘導を行いました。

この種の攻撃が成功する理由は、ユーザーの習慣や心理を的確に利用している点にあります。

差出人情報は、「MetaLiveChain」というMetaMaskに関連しそうな名前を装い、本文中の「退会」リンクは実際のマーケティングサービスプラットフォームに指し示し、主な目的はユーザーにリンクをクリックさせ、悪意のある「契約承認」に署名させることです。

一度署名が完了すると、攻撃者はそのウォレットから特定のトークンを移動させる権限を得ることになり、完全なシードフレーズを盗む必要はありません。

また、Chainalysisのデータによると、2025年の個人ウォレット盗難事件は約15.8万件に上り、被害者数は少なくとも8万人、同時期の盗難資産の総額は約7.13億ドルに減少しています。

全体として、現在の盗難攻撃の傾向は「少額・多発」へと進化しています。平均被害額は下がっているものの、個人ウォレットの盗難事例は激増し、多くの人が被害に遭っていることから、攻撃者の戦略が変化していることが伺えます。

個人投資家は、警戒を怠らず、怪しいリンクをクリックしない、シードフレーズを絶対に漏らさないことに加え、操作の検証ステップを増やして安全防御を強化すべきです。なぜなら、真の安全とはすべてのリスクを排除することではなく、潜在的な損失を許容範囲内に抑えることだからです。

#MetaMaskフィッシング攻撃