Serangan Mendadak Saat Liburan: Mengungkap Serangan Phishing "Selamat Tahun Baru" yang Menyamarkan MetaMask, Bagaimana Menguras Ratusan Dompet?

ZachXBT, seorang peneliti keamanan on-chain terkenal, baru-baru ini mengungkapkan bahwa serangan phishing yang menargetkan pengguna dompet MetaMask telah menyebabkan ratusan dompet rusak, dengan kerugian kumulatif lebih dari $107.000 dan masih meningkat. Penyerang memanfaatkan liburan Tahun Baru untuk menyamar sebagai pejabat dan mengirim email phishing untuk membujuk pengguna menandatangani otorisasi kontrak berbahaya.

Insiden ini, bersama dengan pencurian setidaknya $8,5 juta baru-baru ini dari kerentanan ekstensi browser Trust Wallet, sekali lagi menyoroti kerentanan ekstrem keamanan sisi pengguna di dunia kripto. Artikel ini akan membedah serangan ini secara mendalam, memberikan panduan tanggap darurat segera, dan membangun sistem pertahanan mendalam yang tahan masa depan.

Serang gambaran lengkap: Berburu presisi selama liburan

Pada awal tahun baru, ketika pengembang dan tim pendukung proyek di seluruh dunia sedang cuti dan operasi paling ramping, serangan terkoordinasi pada dompet cryptocurrency diam-diam diluncurkan. Peneliti keamanan ZachXBT telah memantau ratusan alamat dompet di beberapa rantai on-chain yang kompatibel dengan EVM yang asetnya terus dicuri dengan cara kecil dan terdesentralisasi. Jumlah kerugian per korban biasanya disimpan di bawah $2.000, sementara semua uang yang dicuri akhirnya dikirim ke alamat yang meragukan yang sama. Pada saat pers, jumlah total yang dicuri telah melebihi $107.000, dan jumlahnya terus bertambah.

Meskipun akar penyebab serangan masih dalam penyelidikan, banyak laporan pengguna telah mengungkapkan pintu masuk ke serangan tersebut: email phishing “pembaruan wajib” yang menyamar sebagai email resmi MetaMask. Email itu dirancang dengan baik dan tidak hanya menampilkan avatar rubah ikonik MetaMask tetapi juga topi pesta di atasnya, dengan baris subjek “Selamat Tahun Baru!” ", dengan cerdik menggunakan suasana meriah untuk mengurangi kewaspadaan pengguna. Penyerang memilih untuk melancarkan serangan saat ini, yang merupakan jendela waktu untuk respons lambat dan kewaspadaan yang longgar.

Model pencurian “jumlah kecil dan banyak transaksi” ini sangat strategis. Ini sangat menunjukkan bahwa dalam banyak kasus, alih-alih mengambil kendali penuh atas dompet dengan mencuri seed phrase pengguna, penyerang telah mengambil keuntungan dari “persetujuan kontrak” berbahaya yang sebelumnya didorong untuk menandatangani. Secara default, banyak batas otorisasi token “tidak terbatas”, tetapi alih-alih mengosongkan dompet sekaligus, penyerang menjaga jumlah pencurian tunggal tetap rendah. Ini tidak hanya menghindari pemicu kewaspadaan dan tindakan langsung dari korban, tetapi juga memungkinkan serangan untuk direplikasi ke ratusan dompet dalam skala besar, yang akhirnya terakumulasi menjadi total enam digit yang cukup besar.

ZachXBT mengungkapkan data penting tentang insiden phishing

Durasi serangan: Liburan Tahun Baru, jendela waktu spesifik akan dikonfirmasi

Jumlah dompet yang terpengaruh: Ratusan (jumlahnya terus bertambah)

Kerugian rata-rata per dompet: Biasanya kurang dari $2.000

Kerugian Kumulatif yang Diakui: Lebih dari $107,000

Serangan ini melibatkan jaringan: Beberapa rantai yang kompatibel dengan EVM (misalnya, Ethereum, Polygon, Arbitrum, dll.)

Metode serangan: Email phishing mendorong penandatanganan otorisasi kontrak berbahaya

Memecah empat kelemahan utama email phishing yang “efektif”

Mengapa begitu banyak pengguna kripto berpengalaman jatuh cinta padanya? Keberhasilan email phishing bertema MetaMask ini, contoh “buku teks” dari rekayasa sosial, mengungkapkan kelemahan umum dari kebiasaan keamanan rata-rata pengguna. Namun, tidak peduli seberapa halus kamuflasenya, serangan ini selalu menunjukkan kekurangannya dalam detailnya. Mengidentifikasi empat sinyal utama berikut dapat secara efektif memblokir ancaman sebelum terjadi.

Sinyal pertama dan paling jelas adalah “Merek dan pengirim sangat tidak konsisten”。 Dalam kejadian ini, pengirim email tampaknya adalah “MetaLiveChain” — nama yang terdengar seperti ada hubungannya dengan keuangan terdesentralisasi (DeFi) tetapi tidak ada hubungannya dengan MetaMask. Ini sering kali merupakan bukti langsung bahwa penyerang telah menyalahgunakan templat email pemasaran yang sah. Header email bahkan menyertakan tautan berhenti berlangganan yang menunjuk ke “reviews@yotpo .com”, yang selanjutnya mengekspos sifat spamnya.

Kedua, “Rasa urgensi yang diciptakan secara artifisial"Ini adalah rutinitas klasik untuk email phishing. Badan email menekankan bahwa pembaruan ini “wajib” dan mengharuskan pengguna untuk mengambil tindakan segera jika mereka tidak gagal memengaruhi penggunaan dompet. Ini secara langsung bertentangan dengan pedoman keamanan resmi MetaMask. MetaMask membuatnya jelas, resmi"Tidak pernah” Minta pengguna untuk memverifikasi atau meningkatkan melalui email yang tidak diminta. Setiap permintaan eskalasi mendesak yang mengaku berasal dari seorang pejabat harus segera dianggap sebagai peringatan merah.

Kelemahan ketiga adalah “Tautan yang menyesatkan”。 Menyerang tombol atau tautan dalam email dengan teks wajah (seperti “Perbarui Sekarang”) sering kali mengarah ke nama domain yang tidak cocok dengan organisasi yang diklaim. Pengguna cukup mengarahkan kursor ke tautan (di desktop) sebelum mengklik, dan browser biasanya akan menampilkan URL tujuan asli tautan. Tautan apa pun yang tidak metamask.io atau subdomain resminya harus sangat mencurigakan.

Keempat, “Meminta informasi atau izin sensitif inti” Ini adalah garis merah pamungkas. MetaMask dan perwakilannya yang sah tidak akan pernah meminta Frasa Pemulihan Rahasia Anda melalui surat, pesan teks, atau telepon. Pada saat yang sama, mengharuskan Anda untuk menandatangani pesan atau transaksi off-chain dengan konten dan tujuan yang sama sekali tidak dapat dikenali juga merupakan jebakan. Dalam insiden yang diungkapkan oleh ZachXBT, setelah mengklik tautan, korban kemungkinan terdorong untuk menandatangani kontrak otorisasi token berbahaya, yang setara dengan membuka pintu bagi penyerang untuk mentransfer aset dengan tangannya sendiri.

Pedoman Tanggap Darurat: Pencabutan Otorisasi dan Pengurangan Radius Kerugian

Setelah Anda menyadari bahwa Anda mungkin telah mengklik tautan phishing atau menandatangani otorisasi yang mencurigakan, kepanikan tidak membantu, dan Anda harus segera beralih ke pengendalian kehilangan. Tugas pertama adalah: “Putuskan akses penyerang”。 Untungnya, ada alat yang tersedia untuk mengelola dan mencabut otorisasi kontrak dengan mudah.

Untuk pengguna MetaMask, sekarang dimungkinkan untuk langsung di Antarmuka Portofolio MetaMaskuntuk melihat dan mengelola semua otorisasi token. Juga, sepertiCabut.uang tunaiSitus web profesional semacam itu menawarkan proses yang sangat sederhana: hubungkan dompet Anda, pilih jaringan yang sesuai, dan itu akan dengan jelas mencantumkan otorisasi alamat dompet ke semua kontrak pintar. Pengguna dapat meninjau masing-masing dan mengirimkan transaksi “Cabut” ke kontrak apa pun yang tidak tepercaya atau tidak lagi digunakan. Demikian pula,Pemindaian Etherscan dan penjelajah blok lainnya juga menyediakan halaman Persetujuan Token, yang mendukung pencabutan otorisasi manual untuk berbagai standar token seperti ERC-20 dan ERC-721. Bertindak cepat adalah kunci untuk memanfaatkan alat ini, yang berpotensi melestarikan aset yang tersisa sebelum penyerang mengosongkan dompet mereka.

Namun, premis mengambil tindakan yang tepat adalah menilai secara akurat sejauh mana intrusi. Ada perbedaan mendasar di sini: “Otorisasi kontrak dicuri” dan “frasa mnemonik benar-benar bocor”。 Jika yang pertama, penyerang hanya memiliki wewenang untuk mentransfer token tertentu, dan mencabut otorisasi tepat waktu dapat mempertahankan kendali atas dompet, dan langkah-langkah keamanan perlu diperkuat untuk terus menggunakannya di masa mendatang. Namun, jika yang terakhir, itu berarti penyerang telah mengambil kendali penuh atas dompet Anda, dan tindakan apa pun, termasuk pencabutan otorisasi, dapat dicegat atau diduplikasi.

Pedoman keamanan resmi MetaMask menarik garis yang jelas tentang hal ini:Segera setelah Anda mencurigai bahwa seed phrase pemulihan rahasia Anda telah disusupi, segera hentikan penggunaan dompet.harusPada perangkat baru, bersih, dan bebas virusBuat dompet baru dan transfer semua aset yang belum ditransfer dengan aman dari dompet asli ke alamat baru. Frasa benih lama itu harus dipertimbangkan**“Pembakaran permanen”** , tidak pernah digunakan di mana pun. Ketegasan untuk “bertahan hidup dengan pergelangan tangan yang patah” adalah satu-satunya pilihan untuk menghadapi yang terburuk.

Bangun pertahanan mendalam: dari satu titik perlindungan ke sistem keamanan

Baik serangan phishing ini maupun kehilangan kerentanan ekstensi Trust Wallet senilai $8,5 juta sebelumnya menunjukkan kesimpulan yang sama: mengandalkan satu perlindungan itu berbahaya. Dalam menghadapi ancaman yang berkembang, pengguna biasa harus dibangun Pertahanan Mendalam sistem, mengatur penghalang dari berbagai tingkat untuk membatasi potensi kerugian ke kisaran yang dapat diterima.

Lapisan pertama: konfigurasi fungsi dompet dan kebiasaan sehari-hari. Penyedia dompet secara aktif mengintegrasikan fitur keamanan. Misalnya, MetaMask sekarang mendorong pengguna untuk menetapkan batas pengeluaran secara manual saat mengotorisasi alih-alih memilih “Tidak Terbatas” secara default. Pada saat yang sama, Anda harus mengembangkan kebiasaan untuk secara teratur meninjau dan membersihkan otorisasi lama sebagai keamanan dan kebersihan yang sama pentingnya dengan menggunakan dompet perangkat keras. Peringatan keamanan Blockaid MetaMask diaktifkan secara default, yang memunculkan peringatan sebelum Anda menandatangani transaksi yang mencurigakan, yang merupakan garis pertahanan yang sangat diremehkan.

Lapisan 2: Peringkat risiko aset diisolasi dari dompet. Ini adalah salah satu cara paling efektif untuk menangani semua jenis gangguan. Disarankan untuk mengadopsi model dompet tiga lapis “dingin-hangat-panas”:

• Dompet dingin (penyimpanan jangka panjang): Gunakan dompet perangkat keras (misalnya, Ledger, Trezor) untuk menyimpan aset inti dan kepemilikan besar yang tidak mudah diakses.
• Dompet hangat (transaksi harian): Simpan sejumlah kecil aset untuk perdagangan, staking, dan operasi lainnya di dompet perangkat lunak (seperti MetaMask) di ponsel atau komputer Anda.
• Dompet panas (interaksi eksperimental): Membuat dompet “burner” khusus untuk berinteraksi dengan protokol DeFi atau proyek NFT baru yang belum diaudit.

Model ini memang meningkatkan “gesekan” dalam manajemen, tetapiGesekan adalah inti dari keselamatan。 Serangan phishing yang berhasil, jika hanya dompet “burner” Anda yang dilanggar, hanya dapat menelan biaya beberapa ratus atau ribuan dolar. Tetapi serangan yang sama pada satu dompet perangkat lunak tempat Anda menyimpan semua aset Anda bisa menghancurkan.

Tingkat ketiga: pendidikan berkelanjutan dan konstruksi mentalitas. Industri sering menyalahkan kerentanan keamanan pada pendidikan pengguna yang tidak memadai. Namun, data Chainalysis menunjukkan bahwa akan ada sekitar 158.000 pencurian dompet pribadi pada tahun 2025 saja, yang mempengaruhi setidaknya 80.000 orang. Ini menunjukkan bahwa penyerang cenderung berkembang lebih cepat daripada yang dipelajari pengguna. Oleh karena itu, penting untuk menginternalisasi mentalitas “kecurigaan terus-menerus”: mempertahankan ketidakpercayaan alami terhadap informasi yang tidak diminta dari penyedia dompet; Semua otorisasi kontrak secara default berbahaya kecuali Anda sepenuhnya memahami dan mempercayainya; Selalu pahami bahwa kenyamanan cryptocurrency itu sendiri merupakan permukaan serangan yang pada akhirnya akan dieksploitasi.

Pencuri yang diungkapkan oleh ZachXBT pada akhirnya akan menjadi tidak valid karena alamat yang ditandai dan arus utama CEX membekukan deposit. Tapi minggu depan, pencuri lain akan kembali dengan template yang sedikit dimodifikasi dan alamat kontrak baru. Dalam siklus ofensif dan defensif yang tidak pernah berakhir ini, pilihan sebenarnya pengguna bukanlah antara keamanan dan kenyamanan, tetapi dalam “Pada saat ini, manajemen keselamatan yang proaktif membawa beberapa masalah"dengan"Rasa sakit yang luar biasa disebabkan oleh kehilangan aset di masa depan” Buat pilihan. Untuk membangun dan mempraktikkan sistem pertahanan mendalam Anda adalah memilih yang pertama dan dengan tegas mengontrol nasib aset Anda di tangan Anda sendiri.