Вихідні несподіванка: розкриття фішингової атаки "З Новим роком" під виглядом MetaMask, як вона порожніє сотні гаманців?

ZachXBT, відомий дослідник безпеки в блокчейні, нещодавно повідомив, що фішингова атака, спрямована на користувачів гаманців MetaMask, спричинила пошкодження сотень гаманців, а сума втрат перевищує $107,000 і продовжує зростати. Зловмисники скористалися новорічними святами, щоб замаскуватися під посадовців і надсилати фішингові листи, щоб спонукати користувачів підписати зловмисні контракти.

Цей інцидент, разом із нещодавньою крадіжкою щонайменше 8,5 мільйона доларів через вразливість розширення браузера Trust Wallet, ще раз підкреслює крайню вразливість безпеки користувачів у світі криптовалют. У цій статті детально розглянемо цю атаку, надамо негайні рекомендації щодо надзвичайних ситуацій і створимо майбутню систему глибокого захисту.

Атакуйте повну картину: Точне полювання під час свят

На початку нового року, коли розробники та команди підтримки проєктів по всьому світу були у відпустці, а операції були максимально оптимізовані, було тихо розпочато скоординовану атаку на криптовалютні гаманці. Дослідник безпеки ZachXBT відстежував сотні адрес гаманців у кількох EVM-сумісних ланцюгах, чиї активи постійно крадуться невеликими, децентралізованими способами. Сума втрат на одну жертву зазвичай тримається в межах $2,000, тоді як усі вкрадені гроші відправляються на одну й ту ж сумнівну адресу. На момент публікації загальна сума вкрадених перевищила $107,000, і ця кількість зростати.

Хоча корінна причина атаки досі розслідується, численні повідомлення користувачів розкрили вхід до атаки: фішинговий лист із «обов’язковим оновленням», замаскований під офіційну електронну пошту MetaMask. Лист був добре продуманий і містив не лише культовий лисичий аватар MetaMask, а й святковий капелюх із темою «З Новим роком!» », майстерно використовуючи святкову атмосферу, щоб зменшити пильність користувача. Нападник вирішив розпочати наступ саме в цей час, що стало проміжком часу для повільної реакції та слабкої пильності.

Ця модель крадіжок «невелика кількість і кілька транзакцій» є дуже стратегічною. Це наполегливо натякає, що в багатьох випадках, замість того, щоб повністю контролювати гаманець, викравши seed-фразу користувача, зловмисник скористався зловмисним «схваленням контракту», який раніше був змушений підписати контракт. За замовчуванням багато лімітів авторизації токенів є «необмеженими», але замість того, щоб спорожнити гаманець одразу, зловмисник тримав суму однієї крадіжки низькою. Це не лише запобігає миттєвій пильності та дій жертви, а й дозволяє відтворити атаку на сотні гаманців у великих масштабах, що зрештою накопичується до значної шестизначної суми.

ZachXBT розкриває ключові дані про фішингові інциденти

Тривалість атаки: Новорічні свята, точний часовий проміжок ще буде підтверджений

Кількість постраждалих гаманців: Сотні (кількість продовжує зростати)

Середній збиток на гаманець: Зазвичай менше $2,000

Кумулятивні визнані втрати: Понад $107,000

Атака стосується мережі: Кілька EVM-сумісних ланцюгів (наприклад, Ethereum, Polygon, Arbitrum тощо)

Метод атаки: Фішингові листи спонукують підписання зловмисного дозволу на контракт

Розбір чотирьох основних недоліків «ефективних» фішингових листів

Чому так багато досвідчених користувачів криптовалют потрапляють на це? Успіх цього фішингового листа на тему MetaMask, «підручникового» прикладу соціальної інженерії, виявляє поширені слабкі сторони звичайних користувачів у сфері безпеки. Однак, якою б тонкою не була маскування, ці атаки завжди показують свої недоліки в деталях. Визначення наступних чотирьох ключових сигналів може ефективно блокувати загрози до їх виникнення.

Перший і найочевидніший сигнал — «Бренд і відправник серйозно непослідовні»。 У цьому випадку відправником листа, ймовірно, є «MetaLiveChain» — назва, яка, здається, пов’язана з децентралізованими фінансами (DeFi), але не має жодного стосунку до MetaMask. Це часто є прямим доказом того, що зловмисники зловживали легітимними шаблонами маркетингових листів. Заголовок листа навіть містить посилання на відписку, що вказує на «reviews@yotpo .com», що ще більше розкриває його спам.

По-друге, “Штучно створене відчуття терміновості"Це класична процедура для фішингових листів. У тексті листа наголошується, що це оновлення є «обов’язковим» і вимагає від користувачів негайних заходів, якщо це не вплине на використання гаманця. Це прямо суперечить офіційним правилам безпеки MetaMask. MetaMask чітко це дає зрозуміти, офіційно"Ніколи” Попросіть користувачів підтвердити або оновити систему через небажану пошту. Будь-який терміновий запит на ескалацію, який нібито надійшов від посадовця, слід негайно вважати червоним попередженням.

Третій недолік — “Оманливі посилання”。 Атака кнопок або посилань у листах з текстом обличчя (наприклад, «Оновити зараз») часто вказує на доменне ім’я, яке не відповідає заявленій організації. Користувачі просто наводять курсор на посилання (на робочому столі) перед натисканням, і браузер зазвичай показує справжню адресу посилання. Будь-яке посилання, яке не є metamask.io або офіційним піддоменом, має викликати дуже підозрілу.

По-четверте, “Запит на основну конфіденційну інформацію або дозволи” Це остаточна червона лінія. MetaMask та будь-які його легітимні представники ніколи не запитуватимуть вашу Секретну Фразу Відновлення поштою, текстовим повідомленням чи телефоном. Водночас вимога підписати позаланне повідомлення або транзакцію з абсолютно невпізнаваним змістом і метою — це теж пастка. У інциденті, розкритому ZachXBT, після натискання на посилання жертву, ймовірно, змусили підписати договір авторизації шкідливого токена, що еквівалентно відкриттю дверей для зловмисника для передачі активів власними руками.

Керівництво з реагування на надзвичайні ситуації: скасування дозволу та зменшення радіусу втрат

Як тільки ви зрозуміли, що могли натиснути на фішингове посилання або підписати підозріле авторизацію, паніка не допомагає, і вам слід негайно звернутися до контролю втрат. Перше завдання: “Відрізати доступ зловмисника”。 На щастя, існують інструменти для легкого управління та скасування дозволів на контракти.

Для користувачів MetaMask тепер можливо безпосередньо на Інтерфейс MetaMask Portfolioпереглядати та керувати всіма авторизаціями токенів. Також, наприклад,Revoke.cashТакий професійний сайт пропонує надзвичайно простий процес: підключіть гаманець, виберіть відповідну мережу, і він чітко вкаже, що авторизація адреси гаманця для всіх смарт-контрактів. Користувачі можуть переглядати кожен із них і надсилати транзакцію «Відкликати» будь-якому контракту, який не є довіреним або більше не використовується. Аналогічно,Etherscan та інші дослідники блоків також надають сторінки затвердження токенів, які підтримують ручне анулювання авторизації для різних стандартів токенів, таких як ERC-20 та ERC-721. Швидкі дії є ключем до використання цих інструментів, потенційно зберігаючи залишкові активи до того, як зловмисники спорожнять їхні гаманці.

Однак суть правильних заходів полягає в точній оцінці ступеня вторгнення. Тут є фундаментальна різниця: “Авторизація контракту вкрадена” та “мнемонічна фраза повністю просочилася”。 Якщо це перше, зловмисник має повноваження передавати лише конкретні токени, і вчасне скасування авторизації дозволяє зберегти контроль над гаманцем, тому потрібно посилити заходи безпеки, щоб продовжувати його використовувати в майбутньому. Однак, якщо це друге, це означає, що зловмисник повністю контролює ваш гаманець, і будь-яка дія, включно з відкликанням авторизації, може бути перехоплена або відтворена.

Офіційні рекомендації безпеки MetaMask чітко визначають це:Як тільки ви підозрюєте, що ваша секретна фраза відновлення була скомпрометована, негайно припиніть користуватися гаманцем.має бутиНа абсолютно новому, чистому та безвірусному пристроїСтворіть новий гаманець і безпечно перенесіть усі непередані активи з оригінального гаманця на нову адресу. Цю стару фразу насіння треба враховувати**“Постійне спалювання”** , ніколи ніде не використовувався. Ця рішучість «вижити з зламаним зап’ястям» — єдиний спосіб впоратися з найгіршим.

Побудуйте оборону глибоко: від однієї точки захисту до системи безпеки

І ця фішингова атака, і попередня втрата вразливостей розширення Trust Wallet на суму $8,5 мільйона свідчать про один висновок: покладатися на один захист небезпечно. Перед обличчям змінних загроз потрібно будувати звичайних користувачів Захист у глибині Встановіть бар’єри з кількох рівнів, щоб обмежити потенційні втрати прийнятним діапазоном.

Перший шар: налаштування функцій гаманця та щоденні звички. Постачальники гаманців активно інтегрують функції безпеки. Наприклад, MetaMask тепер заохочує користувачів вручну встановлювати обмеження витрат при авторизації замість того, щоб за замовчуванням вибирати «Unlimited». Водночас слід виробити звичку регулярно переглядати та чистити старі дозволи, адже це так само важливо для безпеки та гігієни, як і використання апаратного гаманця. Сповіщення про безпеку Blockaid від MetaMask увімкнені за замовчуванням, що з’являється перед підписанням підозрілих транзакцій, що є сильно недооціненою лінією захисту.

Рівень 2: Рейтинг ризику активів ізольований від гаманця. Це один із найефективніших способів боротьби з усіма видами вторгнень. Рекомендується обрати тришарову модель гаманця «холодно-тепло-гаряче»:

• Холодні гаманці (довготривале зберігання): Використовуйте апаратні гаманці (наприклад, Ledger, Trezor) для зберігання основних активів і великих активів, до яких важко дістатися.
• Теплий гаманець (щоденні транзакції): Зберігайте невелику кількість активів для торгівлі, стейкінгу та інших операцій у програмному гаманці (наприклад, MetaMask) на своєму мобільному телефоні або комп’ютері.
• Гарячий гаманець (експериментальна взаємодія): Створення «одноразового» гаманця спеціально для взаємодії з новими, неаудизованими DeFi-протоколами або NFT-проєктами.

Ця модель дійсно збільшує «тертя» в управлінні, алеТертя — це основа безпеки。 Успішна фішингова атака, якщо зламано лише ваш «одноразовий» гаманець, може коштувати лише кілька сотень або тисяч доларів. Але та сама атака на один програмний гаманець, де ви зберігаєте всі активи, може бути руйнівною.

Третій рівень: безперервна освіта та формування менталітету. Індустрія часто звинувачує вразливості в безпеці у недостатній освіті користувачів. Однак дані Chainalysis показують, що лише у 2025 році буде приблизно 158 000 крадіжок особистих гаманців, що торкнуться щонайменше 80 000 людей. Це показує, що зловмисники, як правило, розвиваються швидше, ніж користувачі навчаються. Тому важливо засвоїти менталітет «стійкої підозри»: підтримувати природну недовіру до будь-якої небажаної інформації від постачальника гаманця; Будь-яке авторизацію контракту за замовчуванням є небезпечним, якщо ви повністю не розумієте і не довіряєте їй; Завжди пам’ятайте, що зручність криптовалют сама по собі є поверхнею для атаки, яку зрештою будуть використати.

Злодій, викритий ZachXBT, зрештою стане недійсним через позначення адрес і заморожування депозитів основними CEX. Але наступного тижня ще один злодій повернеться з трохи зміненим шаблоном і абсолютно новою адресою контракту. У цьому нескінченному офензивному та оборонному циклі справжній вибір користувачів — не між безпекою та зручністю, а в «У цей момент проактивне управління безпекою приносить певні проблеми»з"Великий біль, спричинений втратою активів у майбутньому" Зроби вибір. Щоб побудувати та практикувати свою систему захисту в глибині, потрібно обрати перший варіант і твердо контролювати долю своїх активів у власних руках.