Pengguna MetaMask Diserang: Penipuan 2FA Palsu Menguras Dompet dalam Hitungan Detik

Apa yang Terjadi?

Serangan ini biasanya dimulai dengan email phishing atau tautan yang dibagikan melalui media sosial, pesan langsung, atau situs web yang diretas.

Tidak seperti pengaturan 2FA yang sah, yang mengandalkan kode yang dihasilkan oleh aplikasi atau perangkat, penipuan ini pada akhirnya meminta pengguna untuk memasukkan frasa seed mereka.

Hal ini memberikan kendali penuh kepada penyerang dan memungkinkan mereka untuk menguras dana dalam hitungan detik.

Pengguna menerima email yang tidak diminta yang menyamar sebagai "Dukungan MetaMask", dengan baris subjek seperti "2FA - Lindungi Dompet Anda" atau "Tindakan Diperlukan: Amankan Dompet Anda dengan 2FA".

Email-email tersebut mengklaim bahwa 2FA menjadi wajib untuk mencegah akses tidak sah dan seringk memberlakukan batas waktu palsu untuk menciptakan urgensi.

Mereka menampilkan logo rubah MetaMask dan menyertakan tombol berlabel "Aktifkan 2FA Sekarang!".

Mengklik tombol tersebut mengalihkan pengguna ke situs phishing dengan domain yang sangat mirip dengan MetaMask, seringkali menggunakan teknik typosquatting seperti "matamask" alih-alih "metamask".

Situs tersebut menampilkan peringatan keamanan palsu yang memperingatkan potensi risiko dan mendesak tindakan segera.

Pengguna kemudian dipandu ke antarmuka verifikasi 2FA palsu yang mencakup elemen-elemen realistis, seperti penghitung waktu mundur (misalnya, "Selesaikan dalam 5 menit atau risiko pembatasan akun"), untuk menekan kepatuhan yang cepat.

Langkah terakhir meminta pengguna untuk memasukkan frasa seed 12 atau 24 kata mereka dengan dalih "memverifikasi kepemilikan dompet" atau "menyelesaikan pengaturan keamanan".

Beberapa versi menyertakan "pemeriksaan keaslian" palsu untuk membangun kepercayaan.

Setelah dimasukkan, frasa tersebut dikirim ke penyerang, yang dapat mengimpor dompet di tempat lain dan mentransfer semua aset secara instan.

Pengguna Berisiko Kehilangan Seluruh Aset Mereka

MetaMask sendiri secara teknis tidak rentan; eksploitasi ini mengandalkan rekayasa sosial dan kesalahan pengguna.

Karena varian 2FA khusus ini pertama kali dilaporkan secara publik pada 5 Jan 2026, angka kerugian terperinci belum banyak diungkapkan.

Namun, indikator awal menunjukkan potensi kerugian yang cepat karena pencurian langsung frasa seed.

Kampanye phishing MetaMask serupa, seperti penipuan "pembaruan wajib", ditandai oleh penyelidik on-chain ZachXBT hanya beberapa hari sebelumnya.

Penipuan ini telah menguras lebih dari $107.000 dari ratusan dompet di berbagai chain EVM.

Korban biasanya kehilangan jumlah kecil per dompet ($500–$2.000), membuat pencurian awalnya lebih sulit dideteksi dan dilacak.

Dana dialirkan ke alamat yang dikendalikan penyerang, seringkali dalam stablecoin atau ETH, dengan total kerugian ekosistem dari penipuan terkait MetaMask diperkirakan mencapai jutaan dolar setiap tahun.

Jika Anda menjadi korban, segera putuskan sambungan dompet dari situs yang mencurigakan dan transfer dana yang tersisa ke dompet baru.

Tetap waspada adalah kunci di Web3; MetaMask menekankan bahwa keamanan dimulai dengan kesadaran pengguna.

Bagaimana Menghindari Penipuan Seperti Ini

Pertama dan terpenting, sangat penting bagi pengguna yang memegang aset di dompet online dan dompet self-custodial untuk waspada terhadap serangan semacam ini.

Selalu ingat: tidak ada dompet, baik hardware atau software, custodial atau non-custodial, yang pernah meminta frasa seed Anda.

Namun, karena kecanggihan penipuan ini, sulit untuk mendeteksinya sepanjang waktu.

Berikut adalah panduan langkah demi langkah untuk selalu memeriksa ulang email semacam itu, yang menciptakan urgensi:

• Abaikan email yang tidak diminta yang mengaku dari MetaMask; email resmi tidak pernah menciptakan rasa urgensi atau meminta frasa seed.
• Periksa domain pengirim untuk keabsahan: [email protected] atau [email protected].
• Ketik URL secara manual alih-alih mengklik tautan. Arahkan kursor ke tombol untuk memeriksa tujuannya.
• Jangan pernah memasukkan frasa seed Anda di mana pun kecuali selama penyiapan atau pemulihan dompet awal pada perangkat tepercaya. Simpan secara offline dan gunakan dompet hardware untuk aset bernilai tinggi yang memerlukan konfirmasi fisik untuk transaksi.
• Aktifkan 2FA nyata pada akun terkait menggunakan aplikasi authenticator alih-alih SMS. Nonaktifkan pencadangan iCloud untuk aplikasi sensitif untuk mencegah akses melalui penipuan Apple ID.
• Secara teratur cabut persetujuan token menggunakan alat seperti MetaMask Portfolio untuk membatasi akses ke kontrak jahat.