Користувачі MetaMask стикаються з новою фішинговою атакою 2FA, повідомляє SlowMist

• Зловмисники підробляють сповіщення MetaMask та фальшиві сторінки 2FA для крадіжки секретних фраз.
• Домен Mertamask використовує тактики типографічних помилок та терміновості для обману користувачів.

Нова хвиля фішингових атак повертається до користувачів MetaMask, цього разу з більш відшліфованою та скоординованою схемою. Головний фахівець з інформаційної безпеки SlowMist (CISO) підняв тривогу щодо нової шахрайської схеми, яка маскується під “перевірку 2FA,” створену для вигляду більш легітимною, ніж попередні атаки. Цей метод імітує офіційний процес безпеки та перенаправляє жертв на фальшиві сайти, один з яких — “Mertamask.” Саме тут багато користувачів стають незахищеними, оскільки інтерфейс і сценарій здаються походженням із системи MetaMask.

🚨MetaMask з’явилася нова схема ‘2FA безпеки’ @MetaMask @tayvano_
Увага, обережно pic.twitter.com/RJM78If9zb

— 23pds (山哥) (@im23pds) 5 січня 2026

Зазвичай схема починається з фальшивого повідомлення про безпеку, надісланого електронною поштою, яке попереджає про підозрілу активність у гаманці користувача. Повідомлення не гаяє часу, закликаючи одержувача “перевірити” негайно. Однак замість переходу на офіційну сторінку, користувачі перенаправляються на навмисно схожий домен Mertamask. Маленькі зміни у написанні легко пропустити, особливо коли термінове попередження змушує людину панікувати. Після натискання, жертви потрапляють на фальшиву сторінку 2FA з таймером зворотнього відліку, що підсилює тиск.

Зображення з X

Користувачі MetaMask обманом змушені передати фрази відновлення На фальшивій сторінці користувачам пропонують виконати нібито логічні кроки. Однак у кінцевій стадії сайт просить ввести фразу відновлення або seed-фразу. Саме тут полягає суть шахрайства. MetaMask ніколи не запитує seed-фразу для перевірки, оновлень або з інших причин безпеки. Після введення фрази контроль над гаманцем миттєво передається зловмисникам. Більше того, процес виведення активів зазвичай швидкий і тихий, і жертви дізнаються про це лише після значного зменшення своїх балансів. Цікаво, що цей підхід відображає зміну у фокусі шахраїв. Якщо раніше багато атак базувалися на випадкових повідомленнях або поверхневих візуальних ефектах, то тепер візуальні елементи та сценарій набагато переконливіші. Крім того, психологічний тиск став основною зброєю. Загрози, обмеження за часом і професійний вигляд змушують користувачів MetaMask діяти рефлекторно, а не раціонально. Підписання шкідливих контрактів дозволяє мовчазно красти активи Ця фальшива схема 2FA виникла на тлі зростання інших фішингових атак, що також націлені на екосистему EVM. Останнім часом сотні гаманців EVM, переважно користувачів MetaMask, стали жертвами шахрайських електронних листів із вимогою “обов’язкового оновлення.” У цих випадках жертвам не просили seed-фразу, натомість їх спокушали підписати шкідливий контракт. Вкрадено понад 107 000 доларів у дрібних сумках з кожного гаманця, що ускладнює виявлення крадіжки окремо. Ця стратегія використовує швидкість підписання транзакцій, на відміну від прямого крадіжки seed-фрази. З іншого боку, 9 грудня ми повідомляли, що MetaMask розширила можливості міжланцюгових обмінів через свою мульти-ланцюгову інфраструктуру Rango. Що почалося з EVM і Solana, тепер поширюється на Bitcoin, надаючи користувачам ще ширший міжланцюговий доступ. Кілька днів тому, 5 грудня, ми також висвітлювали інтеграцію Polymarket у MetaMask Mobile, що дозволяє користувачам брати участь у прогнозних ринках без виходу з додатку і отримувати нагороди MetaMask. Крім того, наприкінці листопада ми розглядали функцію перпетуальних торгів на основі власного капіталу в MetaMask Mobile, яка відкриває доступ до довгих і коротких позицій на різноманітні глобальні активи з можливістю використання кредитного плеча.