Внезапный праздничный налет: разоблачение фишинговой атаки "С Новым годом" под видом MetaMask — как опустошить сотни кошельков?

Известный специалист по безопасности в блокчейне ZachXBT недавно раскрыл, что фишинговая атака на пользователей кошельков MetaMask уже привела к повреждению сотен кошельков, совокупный ущерб превысил 107 000 долларов и продолжает расти. Злоумышленники использовали новогодние праздники, маскируясь под официальные сообщения, отправляя фишинговые письма с требованием «принудительного обновления», чтобы заманить пользователей на подпись вредоносных контрактов.

Этот инцидент, наряду с недавней уязвимостью расширения Trust Wallet, которая позволила украсть как минимум 8,5 миллиона долларов, вновь подчеркнул крайнюю уязвимость безопасности на стороне пользователя в криптомире. В статье подробно разберем методы атаки, предоставим рекомендации по экстренным мерам и построим систему глубокого защиты на будущее.

Общий обзор атаки: точечная охота в праздники

В начале нового года, когда разработчики и команды поддержки проектов находятся в отпуске, а штат сотрудников минимален, тихо развернулась координированная атака на криптовалютные кошельки. Специалист по безопасности ZachXBT обнаружил на блокчейне, что сотни кошельков на нескольких EVM-совместимых цепочках подверглись постепенному мелкому и рассеянному краже активов. Обычно ущерб с каждого пострадавшего не превышает 2000 долларов, а все украденные средства в итоге поступают на один подозрительный адрес. На момент публикации общий украденный объем превысил 107 000 долларов и продолжает расти.

Несмотря на то, что причина атаки еще исследуется, многие пользователи сообщили о входных точках: фишинговое письмо, маскирующееся под официальное сообщение MetaMask с требованием «обязательного обновления». Письмо выполнено профессионально: использует фирменный логотип лисы MetaMask, украшено шапкой с праздничной шапкой, а тема — «С Новым годом!», что создает иллюзию праздничной атмосферы и снижает бдительность получателей. Злоумышленники выбрали именно этот момент, чтобы воспользоваться замедленной реакцией и ослабленной осторожностью пользователей.

Модель «мелких сумм за раз» в краже очень стратегична. Она явно намекает, что злоумышленники не всегда полностью контролируют кошелек, похищая助记词（Seed Phrase）, а используют ранее полученные разрешения на контрактные операции (Contract Approval). По умолчанию многие токеновые разрешения имеют статус «бесконечные», но злоумышленники не очищают сразу все разрешения, а контролируют сумму одной кражи, чтобы не вызывать немедленной тревоги у владельца. Такой подход позволяет масштабировать атаки на сотни кошельков, аккумулируя значительные суммы.

ZachXBT раскрыл ключевые данные фишингового инцидента

Длительность атаки: в новогодние праздники, точное время уточняется

Количество пострадавших кошельков: сотни (число постоянно растет)

Средний ущерб с одного кошелька: обычно менее 2000 долларов

Общий подтвержденный ущерб: свыше 107 000 долларов

Затронутые сети: несколько EVM-совместимых цепочек (например, Ethereum, Polygon, Arbitrum и др.)

Метод атаки: фишинговое письмо, побуждающее подписать вредоносный контракт для авторизации

Анализ «эффективных» фишинговых писем: четыре уязвимых места

Почему так много опытных пользователей криптовалют попадаются на удочку? Это письмо, маскирующееся под MetaMask, — образец социальной инженерии, который можно считать учебным пособием. Его успех показывает слабые места в обычных привычках безопасности пользователей. Однако, несмотря на изобретательность злоумышленников, такие атаки всегда имеют уязвимые детали. Распознавание следующих четырех признаков поможет вовремя остановить угрозу.

Первое и самое очевидное — «серьезное несоответствие бренда и отправителя». В этом случае письмо пришло от «MetaLiveChain» — название, звучащее как связанное с децентрализованными финансами (DeFi), но на самом деле не связанное с MetaMask. Это классический признак подделки легитимных маркетинговых писем. В шапке письма есть даже ссылка для отписки — «reviews@yotpo .com», что дополнительно указывает на спам.

Второй — «искусственное создание чувства срочности». В письме подчеркивается, что обновление — «обязательное», и требует немедленных действий, иначе возможны проблемы с использованием кошелька. Это противоречит официальным рекомендациям MetaMask. Компания ясно заявляет, что «никогда» не запрашивает подтверждения или обновления по электронной почте без предварительного запроса. Любое требование срочного обновления — это красный флаг.

Третий — «обманные ссылки». Кнопки или гиперссылки в письме могут вести на домены, не соответствующие официальным. Перед кликом на ссылку на компьютере достаточно навести курсор — браузер покажет реальный URL. Если он не metamask.io или его официальных поддоменов, стоит насторожиться.

Четвертый — «запрос на получение конфиденциальных данных или разрешений». MetaMask и его официальные представители никогда не запросят по почте, SMS или телефону ваши секретные фразы (Secret Recovery Phrase). Также, подпись неподтвержденных сообщений или транзакций — потенциальная ловушка. В случае ZachXBT, жертвы, скорее всего, подписали вредоносный контракт, что дало злоумышленникам возможность переводить активы.

Инструкции по экстренным мерам: отмена разрешений и ограничение потерь

Если вы заметили, что кликнули по фишинговой ссылке или подписали подозрительный контракт, не паникуйте, а немедленно приступайте к контролю ущерба. Первое — «прервать доступ злоумышленников». К счастью, есть инструменты для управления и отмены разрешений.

Для пользователей MetaMask сейчас можно прямо в MetaMask Portfolio просматривать и управлять всеми разрешениями токенов. Также есть сайт Revoke.cash, который позволяет легко отменить разрешения: подключите кошелек, выберите сеть — и он покажет все разрешения, выданные смарт-контрактам. Можно по очереди отзывать разрешения, отправляя транзакции «Revoke». Аналогично, Etherscan предоставляет раздел Token Approvals, где можно вручную отменить разрешения для ERC-20, ERC-721 и других токенов. Быстрые действия — залог сохранения оставшихся активов.

Однако, важно правильно определить степень проникновения. Есть два варианта: «разрешение на контракт» и «полная утечка助记词». Если злоумышленники получили только разрешения на перевод определенных токенов, своевременная отмена — спасет контроль над кошельком. Но если助记词 полностью скомпрометированы, злоумышленники могут полностью контролировать кошелек, и любые действия (включая отмену разрешений) могут быть перехвачены или повторно использованы.

Официальные рекомендации MetaMask четко разделяют эти ситуации: если есть подозрение, что助记词 скомпрометированы, — немедленно прекратите использование этого кошелька. Нужно создать новый кошелек на полностью чистом устройстве и безопасно перевести туда активы. Старый助记词 следует уничтожить навсегда. Такой радикальный шаг — единственный способ защититься в худшем случае.

Построение системы глубокого защиты: от единичных мер к комплексной безопасности

И этот инцидент, и недавняя уязвимость Trust Wallet показывают, что полагаться на одну защиту опасно. В условиях постоянно развивающихся угроз необходимо создавать «глубинную защиту» (Defense-in-Depth), которая включает несколько уровней барьеров, чтобы ограничить возможные потери.

Первый уровень: настройка кошелька и привычки. Производители кошельков внедряют новые функции безопасности. Например, MetaMask поощряет устанавливать лимиты расходов при разрешениях, а не оставлять «бесконечные». Также важно регулярно проверять и отзывать старые разрешения, воспринимая это как важную часть безопасности. Встроенные системы предупреждений, такие как Blockaid, помогают не подписывать подозрительные транзакции — это важная, но недооцененная защита.

Второй — риск-менеджмент и изоляция активов. Самый эффективный способ — разделение активов по разным кошелькам:

• Холодные кошельки (hardware wallets, Ledger, Trezor) — для хранения основной части средств, не используемой часто.
• Теплые кошельки — для ежедневных операций, например, MetaMask с небольшими суммами.
• Горячие кошельки — для взаимодействия с новыми или непроверенными DeFi-проектами и NFT.

Такое разделение усложняет задачу злоумышленникам: если атакуют только «горячий» кошелек, ущерб минимален, а если — весь портфель, последствия катастрофические.

Третий — постоянное обучение и психологическая подготовка. В индустрии часто обвиняют пользователей в недостаточной осведомленности. Но статистика показывает, что за 2025 год было около 158 000 случаев кражи личных кошельков, пострадало не менее 80 000 человек. Атаки развиваются быстрее, чем учатся пользователи. Поэтому важно выработать привычку к постоянной «подозрительности»:

• Не доверять непрошенным сообщениям от поставщиков кошельков.
• В любой ситуации считать все разрешения опасными, пока не убедишься в их безопасности.
• Помнить, что удобство криптовалют — это потенциальная уязвимость.

Захваченные адреса, раскрытые ZachXBT, со временем станут недоступными из-за блокировки на крупных биржах. Но злоумышленники быстро придут с новыми шаблонами и адресами. В этом бесконечном цикле атака и защита, выбор пользователя — не между безопасностью и удобством, а между «активным управлением безопасностью сейчас» и «потерей активов в будущем». Построение и соблюдение системы глубокого защиты — это выбор в пользу первого варианта, контроль над своими активами — в своих руках.