MetaMask muncul penipuan phishing baru dengan "otorisasi dua faktor palsu", kata kunci disadap dan diminta memasukkan kata kunci rahasia, risiko terbesar

Belakangan ini, pengguna MetaMask menghadapi risiko penipuan phishing baru yang sangat menyamar. Perusahaan keamanan blockchain SlowMist memperingatkan bahwa penyerang memanfaatkan kedok “mengaktifkan otentikasi dua faktor (2FA)” untuk memancing pengguna secara aktif mengungkapkan seed phrase dompet mereka, sehingga langsung mencuri aset. Jenis penipuan phishing MetaMask ini sangat spesifik dan telah menjadi ancaman nyata terhadap keamanan pengguna cryptocurrency.

Diketahui, korban biasanya menerima email yang menyamar sebagai resmi dari MetaMask, berisi identifikasi merek dan tips keamanan, serta mengklaim bahwa pengguna perlu segera mengaktifkan otentikasi dua faktor untuk “melindungi keamanan aset”. Untuk menciptakan rasa urgensi, email sering dilengkapi dengan hitung mundur, memancing pengguna untuk cepat mengklik tombol “Aktifkan Sekarang” di bawah tekanan.

Setelah mengklik tautan, pengguna akan diarahkan ke halaman palsu yang dibuat oleh penyerang. Tampilan halaman ini sangat mirip aslinya, dengan tujuan utama hanya satu—menipu pengguna agar memasukkan seed phrase dompet mereka. Karena seed phrase setara dengan hak akses tertinggi ke dompet, jika bocor, penyerang dapat segera memindahkan aset dalam waktu singkat dan hampir tidak dapat dilacak kembali.

Faktanya, email phishing semacam ini tidak tanpa celah. Petugas keamanan menunjukkan bahwa halaman dan email penipuan sering memiliki kejanggalan kecil, seperti kesalahan ejaan, detail desain yang tidak konsisten, atau domain yang menyamar. Dalam kejadian ini, domain yang digunakan untuk mengarahkan pengguna adalah “mertamask”, bukan “metamask” resmi. Selain itu, email pengirim sering berasal dari akun yang tidak terkait, bahkan menggunakan domain email umum seperti Gmail.

Perlu ditekankan bahwa MetaMask resmi tidak akan pernah meminta pengguna untuk melakukan verifikasi akun, mengaktifkan fitur keamanan, atau memasukkan seed phrase melalui email. Permintaan semacam ini hampir pasti merupakan penipuan.

Perlu dicatat bahwa ini bukan kejadian yang terisolasi. Baru-baru ini, pengguna cryptocurrency terus mengalami berbagai serangan phishing dan malware, termasuk pembaruan aplikasi MetaMask palsu, ekstensi browser Trust Wallet yang disusupi kode berbahaya, serta penyebaran aplikasi Eternl Desktop palsu yang menargetkan pengguna Cardano. Serangan ini mencakup berbagai jaringan kompatibel EVM dan jumlah korban cukup banyak.

Meskipun data Scam Sniffer menunjukkan bahwa kerugian total akibat penipuan phishing cryptocurrency pada tahun 2025 menurun hampir 88% dibandingkan tahun sebelumnya, para ahli keamanan memperingatkan bahwa teknik serangan semakin canggih dan “terpercaya”. Bagi pengguna MetaMask, prinsip keamanan terpenting tetap sama: jangan pernah mengungkapkan seed phrase ke situs web atau email mana pun, dan selalu peroleh pembaruan dompet serta informasi keamanan melalui saluran resmi.