Pengguna MetaMask Diserang: Penipuan 2FA Palsu Menguras Dompet dalam Hitungan Detik

ccn.comDipublikasikan tanggal 2026-01-05Terakhir diperbarui pada 2026-01-05

Abstrak

Pengguna MetaMask menghadapi serangan phishing canggih yang menyamar sebagai verifikasi keamanan 2FA. Penipu mengirim email palsu yang meniru pemberitahuan resmi MetaMask, meminta pengguna untuk segera mengaktifkan "2FA wajib" dengan ancaman pembatasan akun. Korban diarahkan ke situs web jahat yang mirip dengan antarmuka MetaMask asli, dilengkapi timer countdown untuk menciptakan urgensi. Pada akhirnya, pengguna diminta memasukkan frasa seed (12 atau 24 kata) yang mengakibatkan pengambilalihan dompet dan pengosongan dana dalam hitungan detik. MetaMask sendiri tidak memiliki kerentanan teknis - serangan ini murni mengandalkan rekayasa sosial. Untuk melindungi diri, pengguna harus: - Tidak pernah membagikan frasa seed di mana pun - Mengabaikan email tidak resmi yang menciptakan urgensi - Memverifikasi domain pengirim email - Menggunakan dompet hardware untuk aset bernilai tinggi - Mencabut persetujuan token secara berkala

Poin-Poin Penting

  • Para penipu menargetkan pengguna MetaMask dengan halaman "verifikasi keamanan 2FA" palsu yang meniru peringatan resmi.
  • Situs phishing menggunakan penghitung waktu mundur dan rasa urgensi untuk menipu korban agar memasukkan frasa seed mereka.
  • Setelah frasa seed dikirimkan, penyerang mendapatkan kendali penuh dan dapat langsung menguras isi dompet.

MetaMask, dompet Ethereum non-custodial terkemuka, sedang menghadapi penipuan autentikasi dua faktor (2FA) aktif yang baru-baru ini telah menguras beberapa dompet pengguna.

Perusahaan keamanan siber SlowMist menandai serangan ini pada 5 Jan, mencatat bahwa para penipu memancing korban melalui serangkaian halaman web palsu yang dirancang untuk sangat meniru antarmuka resmi MetaMask, yang pada akhirnya menipu pengguna untuk mengungkapkan frasa seed dompet mereka.

Coba Pertukaran Crypto yang Kami Rekomendasikan
Disponsori
Keterangan
Kami terkadang menggunakan tautan afiliasi dalam konten kami, saat mengklik tautan tersebut kami mungkin menerima komisi tanpa biaya tambahan untuk Anda. Dengan menggunakan situs web ini, Anda menyetujui syarat dan ketentuan serta kebijakan privasi kami.
"}' data-trk="68df7fd8872238d510dfbf06" href="https://clicks极简处理,保留所有原始HTML结构和赞助商内容,但将可见的英文文本翻译为印尼语。 ... (此处省略了非常长的赞助商列表HTML代码的翻译,但结构保持不变,只翻译了可见文本如 "Sponsored", "Disclosure", "Claim Offer", "Coins" 等,以及品牌名称和促销文本,例如 "Get 100% Bonus up to $100 on your first Deposit." 翻译为 "Dapatkan Bonus 100% hingga $100 pada Setoran Pertama Anda.") ...

Apa yang Terjadi?

Serangan ini biasanya dimulai dengan email phishing atau tautan yang dibagikan melalui media sosial, pesan langsung, atau situs web yang diretas.

Tidak seperti pengaturan 2FA yang sah, yang mengandalkan kode yang dihasilkan oleh aplikasi atau perangkat, penipuan ini pada akhirnya meminta pengguna untuk memasukkan frasa seed mereka.

Hal ini memberikan kendali penuh kepada penyerang dan memungkinkan mereka untuk menguras dana dalam hitungan detik.

Pengguna menerima email yang tidak diminta yang menyamar sebagai "Dukungan MetaMask", dengan baris subjek seperti "2FA - Lindungi Dompet Anda" atau "Tindakan Diperlukan: Amankan Dompet Anda dengan 2FA".

Email-email tersebut mengklaim bahwa 2FA menjadi wajib untuk mencegah akses tidak sah dan seringk memberlakukan batas waktu palsu untuk menciptakan urgensi.

Mereka menampilkan logo rubah MetaMask dan menyertakan tombol berlabel "Aktifkan 2FA Sekarang!".

Pengguna Metamask menerima email berbahaya yang meminta mereka untuk memperbarui frasa seed. Sumber: X

Mengklik tombol tersebut mengalihkan pengguna ke situs phishing dengan domain yang sangat mirip dengan MetaMask, seringkali menggunakan teknik typosquatting seperti "matamask" alih-alih "metamask".

Situs tersebut menampilkan peringatan keamanan palsu yang memperingatkan potensi risiko dan mendesak tindakan segera.

Pengguna kemudian dipandu ke antarmuka verifikasi 2FA palsu yang mencakup elemen-elemen realistis, seperti penghitung waktu mundur (misalnya, "Selesaikan dalam 5 menit atau risiko pembatasan akun"), untuk menekan kepatuhan yang cepat.

Langkah terakhir meminta pengguna untuk memasukkan frasa seed 12 atau 24 kata mereka dengan dalih "memverifikasi kepemilikan dompet" atau "menyelesaikan pengaturan keamanan".

Beberapa versi menyertakan "pemeriksaan keaslian" palsu untuk membangun kepercayaan.

Setelah dimasukkan, frasa tersebut dikirim ke penyerang, yang dapat mengimpor dompet di tempat lain dan mentransfer semua aset secara instan.

Pengguna Berisiko Kehilangan Seluruh Aset Mereka

MetaMask sendiri secara teknis tidak rentan; eksploitasi ini mengandalkan rekayasa sosial dan kesalahan pengguna.

Karena varian 2FA khusus ini pertama kali dilaporkan secara publik pada 5 Jan 2026, angka kerugian terperinci belum banyak diungkapkan.

Namun, indikator awal menunjukkan potensi kerugian yang cepat karena pencurian langsung frasa seed.

Kampanye phishing MetaMask serupa, seperti penipuan "pembaruan wajib", ditandai oleh penyelidik on-chain ZachXBT hanya beberapa hari sebelumnya.

Penipuan ini telah menguras lebih dari $107.000 dari ratusan dompet di berbagai chain EVM.

Korban biasanya kehilangan jumlah kecil per dompet ($500–$2.000), membuat pencurian awalnya lebih sulit dideteksi dan dilacak.

Dana dialirkan ke alamat yang dikendalikan penyerang, seringkali dalam stablecoin atau ETH, dengan total kerugian ekosistem dari penipuan terkait MetaMask diperkirakan mencapai jutaan dolar setiap tahun.

Jika Anda menjadi korban, segera putuskan sambungan dompet dari situs yang mencurigakan dan transfer dana yang tersisa ke dompet baru.

Tetap waspada adalah kunci di Web3; MetaMask menekankan bahwa keamanan dimulai dengan kesadaran pengguna.

Bagaimana Menghindari Penipuan Seperti Ini

Pertama dan terpenting, sangat penting bagi pengguna yang memegang aset di dompet online dan dompet self-custodial untuk waspada terhadap serangan semacam ini.

Selalu ingat: tidak ada dompet, baik hardware atau software, custodial atau non-custodial, yang pernah meminta frasa seed Anda.

Namun, karena kecanggihan penipuan ini, sulit untuk mendeteksinya sepanjang waktu.

Berikut adalah panduan langkah demi langkah untuk selalu memeriksa ulang email semacam itu, yang menciptakan urgensi:

  • Abaikan email yang tidak diminta yang mengaku dari MetaMask; email resmi tidak pernah menciptakan rasa urgensi atau meminta frasa seed.
  • Periksa domain pengirim untuk keabsahan: [email protected] atau [email protected].
  • Ketik URL secara manual alih-alih mengklik tautan. Arahkan kursor ke tombol untuk memeriksa tujuannya.
  • Jangan pernah memasukkan frasa seed Anda di mana pun kecuali selama penyiapan atau pemulihan dompet awal pada perangkat tepercaya. Simpan secara offline dan gunakan dompet hardware untuk aset bernilai tinggi yang memerlukan konfirmasi fisik untuk transaksi.
  • Aktifkan 2FA nyata pada akun terkait menggunakan aplikasi authenticator alih-alih SMS. Nonaktifkan pencadangan iCloud untuk aplikasi sensitif untuk mencegah akses melalui penipuan Apple ID.
  • Secara teratur cabut persetujuan token menggunakan alat seperti MetaMask Portfolio untuk membatasi akses ke kontrak jahat.

Pilihan Teratas untuk Ethereum
  • Pertukaran Terbaik untuk Ethereum Dapatkan Penawaran Hebat Saat Anda Bergabung dengan Pertukaran Ini
  • Beli Ethereum dengan Cepat & Mudah Cara Membeli Ethereum Dengan Kartu Kredit Sekarang
  • Kasino Online Terbaik untuk Ethereum Lihat Pilihan Kami untuk Situs Perjudian Crypto Terbaik

Pertanyaan Terkait

QApa yang dilakukan penipu dalam serangan phishing 2FA palsu terhadap pengguna MetaMask?

APenipu mengirim email atau tautan phishing yang meniru peringatan resmi MetaMask, meminta pengguna untuk memasukkan frasa seed mereka dengan dalih verifikasi keamanan 2FA. Setelah frasa seed diberikan, penyerang dapat mengontrol dompet dan menguras semua aset dalam hitungan detik.

QBagaimana cara penipu menciptakan urgensi dalam serangan ini?

AMereka menggunakan timer hitung mundur palsu (misalnya 'Selesaikan dalam 5 menit atau akun akan dibatasi') dan klaim bahwa 2FA menjadi wajib untuk mencegah akses tidak sah, sehingga memaksa korban bertindak cepat tanpa berpikir kritis.

QApa yang harus dilakukan jika seseorang telah menjadi korban serangan ini?

ASegera putuskan sambungan dompet dari situs mencurigakan, pindahkan dana yang tersisa ke dompet baru dengan frasa seed yang berbeda, dan laporkan insiden tersebut. MetaMask tidak pernah meminta frasa seed melalui email atau situs web.

QBagaimana cara membedakan email resmi MetaMask dari email phishing?

APeriksa domain pengirim: email resmi MetaMask hanya berasal dari domain '@metamask.io' atau '@consensys.net'. Hindari email yang menciptakan urgensi berlebihan atau meminta frasa seed, dan selalu ketik URL manual daripada mengklik tautan.

QApa langkah pencegahan utama untuk menghindari scam seperti ini?

AJangan pernah membagikan frasa seed kepada siapapun, simpan offline, gunakan dompet hardware untuk aset bernilai tinggi, aktifkan 2FA asli dengan aplikasi autentikator, dan cabut persetujuan token secara berkala menggunakan alat seperti MetaMask Portfolio.

Bacaan Terkait

Satu Tahun Atkins Memimpin SEC: Regulasi Kripto Berubah Arah Secara Menyeluruh

Peringatan satu tahun Paul Atkins sebagai Ketua SEC: Regulasi Kripto Berubah Drastis Pada 21 April 2025, Paul Atkins dilantik sebagai Ketua Komisi Sekuritas dan Bursa AS (SEC). Dalam setahun, SEC mengalami perubahan mendasar dalam pendekatan regulasi dan penegakan hukum aset digital, sangat kontras dengan era pendahulunya, Gary Gensler. Di bawah kepemimpinan Atkins, SEC mencabut berbagai gugatan dan penyelidikan terhadap perusahaan kripto, menyetujui beberapa ETF terkait aset kripto, menandatangani nota kesepahaman dengan CFTC untuk koordinasi regulasi, serta menerbitkan pemberitahuan penjelasan yang menyatakan sebagian besar kripto bukan sekuritas menurut hukum federal. Meski diapresiasi industri, Atkins menghadapi kritik dari anggota Partai Demokrat, seperti Senator Elizabeth Warren, yang menuduhnya memiliki konflik kepentingan karena pencabutan gugatan melibatkan perusahaan terkait mantan Presiden Trump. SEC masih menunggu Kongres menyetujui undang-undang struktur pasar untuk memperjelas yurisdiksinya atas aset kripto.

marsbit7m yang lalu

Satu Tahun Atkins Memimpin SEC: Regulasi Kripto Berubah Arah Secara Menyeluruh

marsbit7m yang lalu

Anda Bertaruh pada Berita, Para Pemain Pro Membaca Aturan: Perbedaan Kognitif Sebenarnya di Balik Kerugian di Polymarket

Artikel ini membahas bagaimana para trader berpengalaman ("车头") di Polymarket sering kali unggul karena mereka memahami aturan pasar prediksi secara mendetail, layaknya pengacara yang menganalisis kontrak. Menggunakan contoh pasar tentang "Siapa pemimpin Venezuela pada akhir 2026", artikel menunjukkan bahwa meskipun intuisi mungkin menunjuk pada pemimpin de facto, aturan pasar yang ketat tentang siapa yang "secara resmi memegang" jabatanlah yang menentukan hasilnya. Kasus serupa melibatkan definisi "token" Polymarket dan interpretasi "persetujuan" dalam perjanjian nuklir Iran. Polymarket memiliki mekanisme penyelesaian sengketa berlapis yang dijalankan oleh pemegang token UMA. Prosesnya melibatkan pengajuan proposal, periode sanggahan, diskusi, dan voting. Namun, sistem ini memiliki kelemahan krusial: tidak ada pemisahan antara pihak yang memiliki kepentingan finansial (trader) dan pihak yang menjadi penentu keputusan (voter). Hal ini dapat menyebabkan konflik kepentingan, membuat diskusi tidak efektif karena pengaruh kelompok dan perubahan posisi, serta menghasilkan keputusan yang tidak transparan tanpa penjelasan hukum yang dapat dijadikan preseden. Kesimpulannya, kunci sukses di Polymarket bukan hanya memprediksi peristiwa dengan benar, tetapi juga memahami celah antara "realitas" dan "aturan" tertulis untuk memanfaatkan kesalahan harga yang timbul dari misinterpretasi.

marsbit55m yang lalu

Anda Bertaruh pada Berita, Para Pemain Pro Membaca Aturan: Perbedaan Kognitif Sebenarnya di Balik Kerugian di Polymarket

marsbit55m yang lalu

Akankah Solana Segera Mengungguli Ethereum? SOL Melangkah Menuju Dominasi Total

Solana, pesaing terdekat Ethereum, menunjukkan kemajuan signifikan dalam hal volume transaksi. Pada 2026, SOL memproses hampir 9 miliar transaksi per bulan, jauh melampaui Ethereum yang hanya 69 juta. Bahkan, total transaksi sepanjang sejarah Solana telah mencapai 500 miliar, mengungguli Ethereum yang 3 miliar. Keunggulan ini didukung arsitektur berkecepatan tinggi dan biaya rendah, menarik institusi seperti Visa dan Western Union yang berencana meluncurkan stablecoin di jaringan SOL. Solana juga pertama kalinya unggul dalam jumlah pemegang aset dunia nyata (RWA). Meski memiliki kapitalisasi pasar lebih kecil yang berpotensi imbal hasil lebih tinggi, "flippening" lengkap terhadap Ethereum masih belum pasti. Ethereum mengandalkan skala Layer-2 untuk memperkuat ekosistem, sementara pertumbuhan Solana sebagian didorong aktivitas high-frequency seperti memecoin.

bitcoinist1j yang lalu

Akankah Solana Segera Mengungguli Ethereum? SOL Melangkah Menuju Dominasi Total

bitcoinist1j yang lalu

Harga 200 Dolar untuk Membeli Star, Tipu VC Jutaan Dolar: Seluruh Rantai Industri Palsu GitHub Star Terbongkar

Menurut penelitian dari Universitas Carnegie Mellon, sekitar 6 juta bintang (Star) palsu terdeteksi di GitHub, melibatkan 18.600 repositori dan 301.000 akun. Proyek AI/LLM menjadi kategori terbesar yang menggunakan bintang palsu secara non-jahat. Pasar bintang palsu menawarkan harga serendah $0,03 per bintang, sementara data Redpoint Ventures menunjukkan bahwa proyek seed stage memiliki median 2.850 bintang—hanya dengan $200, seseorang dapat "membeli" popularitas palsu untuk memenuhi standar pendanaan. VC menggunakan jumlah bintang sebagai kriteria seleksi proyek, menciptakan siklus di mana startup membeli bintang untuk menarik investasi. GitHub menghapus repositori yang terdeteksi, tetapi hanya 57,07% akun pelaku yang ditindak. Laporan ini menyerukan sistem penilaian yang lebih berbobot untuk menggantikan penghitungan bintang mentah.

marsbit1j yang lalu

Harga 200 Dolar untuk Membeli Star, Tipu VC Jutaan Dolar: Seluruh Rantai Industri Palsu GitHub Star Terbongkar

marsbit1j yang lalu

Akankah The Fed (Bank Sentral AS) Masih Memotong Suku Bunga? Data Malam Ini Sangat Krusial

Ringkasan: Pasar sedang bergejolak mempertanyakan apakah Federal Reserve (The Fed) akan memangkas suku bunga, terjepit antara konflik geopolitik dan inflasi yang bangkit kembali. Inti perdebatan adalah apakah harga energi tinggi akan memicu inflasi berkepanjangan atau justru mengurangi permintaan konsumen sehingga memaksa The Fed untuk turunkan suku bunga. Dua pandangan bank investasi terkemuka saling bertolak belakang: * **Citi** optimis: yakin The Fed tetap akan memangkas suku bunga. Mereka berargumen bahwa gangguan pasokan minyak dari konflik di Selat Hormuz bersifat sementara dan tidak akan menyebabkan inflasi yang berlarut. Data ekonomi dasar seperti likuiditas dan pasar tenaga kerja juga mendukung pandangan ini. * **Deutsche Bank (DB)** pesimis: memperingatkan bahwa kebijakan The Fed sudah berada di posisi netral dan kemungkinan akan mempertahankan suku bunga saat ini untuk waktu yang tidak terbatas. Mereka menunjukkan bahwa proses penurunan inflasi mandek, pejabat The Fed bersikap lebih hawkish, dan pasar telah meniadakan ekspektasi penurunan suku bunga untuk tahun 2024, dengan perkiraan satu kali pemotongan baru pada pertengahan 2025. Data penjualan ritel Maret, khususnya "grup kontrol" yang mengesampingkan penjualan bensin, menjadi batu ujian kunci. Data ini akan mengungkap apakah harga minyak yang tinggi benar-benar melemahkan belanja konsumen di sektor lain, yang dapat mendukung argumen untuk penurunan suku bunga.

marsbit1j yang lalu

Akankah The Fed (Bank Sentral AS) Masih Memotong Suku Bunga? Data Malam Ini Sangat Krusial

marsbit1j yang lalu

Trading

Spot
Futures
活动图片

Kategori Populerright-arrow

Tag Populerright-arrow