Pengguna MetaMask Diserang: Penipuan 2FA Palsu Menguras Dompet dalam Hitungan Detik

ccn.comDipublikasikan tanggal 2026-01-05Terakhir diperbarui pada 2026-01-05

Abstrak

Pengguna MetaMask menghadapi serangan phishing canggih yang menyamar sebagai verifikasi keamanan 2FA. Penipu mengirim email palsu yang meniru pemberitahuan resmi MetaMask, meminta pengguna untuk segera mengaktifkan "2FA wajib" dengan ancaman pembatasan akun. Korban diarahkan ke situs web jahat yang mirip dengan antarmuka MetaMask asli, dilengkapi timer countdown untuk menciptakan urgensi. Pada akhirnya, pengguna diminta memasukkan frasa seed (12 atau 24 kata) yang mengakibatkan pengambilalihan dompet dan pengosongan dana dalam hitungan detik. MetaMask sendiri tidak memiliki kerentanan teknis - serangan ini murni mengandalkan rekayasa sosial. Untuk melindungi diri, pengguna harus: - Tidak pernah membagikan frasa seed di mana pun - Mengabaikan email tidak resmi yang menciptakan urgensi - Memverifikasi domain pengirim email - Menggunakan dompet hardware untuk aset bernilai tinggi - Mencabut persetujuan token secara berkala

Poin-Poin Penting

  • Para penipu menargetkan pengguna MetaMask dengan halaman "verifikasi keamanan 2FA" palsu yang meniru peringatan resmi.
  • Situs phishing menggunakan penghitung waktu mundur dan rasa urgensi untuk menipu korban agar memasukkan frasa seed mereka.
  • Setelah frasa seed dikirimkan, penyerang mendapatkan kendali penuh dan dapat langsung menguras isi dompet.

MetaMask, dompet Ethereum non-custodial terkemuka, sedang menghadapi penipuan autentikasi dua faktor (2FA) aktif yang baru-baru ini telah menguras beberapa dompet pengguna.

Perusahaan keamanan siber SlowMist menandai serangan ini pada 5 Jan, mencatat bahwa para penipu memancing korban melalui serangkaian halaman web palsu yang dirancang untuk sangat meniru antarmuka resmi MetaMask, yang pada akhirnya menipu pengguna untuk mengungkapkan frasa seed dompet mereka.

Coba Pertukaran Crypto yang Kami Rekomendasikan
Disponsori
Keterangan
Kami terkadang menggunakan tautan afiliasi dalam konten kami, saat mengklik tautan tersebut kami mungkin menerima komisi tanpa biaya tambahan untuk Anda. Dengan menggunakan situs web ini, Anda menyetujui syarat dan ketentuan serta kebijakan privasi kami.
"}' data-trk="68df7fd8872238d510dfbf06" href="https://clicks极简处理,保留所有原始HTML结构和赞助商内容,但将可见的英文文本翻译为印尼语。 ... (此处省略了非常长的赞助商列表HTML代码的翻译,但结构保持不变,只翻译了可见文本如 "Sponsored", "Disclosure", "Claim Offer", "Coins" 等,以及品牌名称和促销文本,例如 "Get 100% Bonus up to $100 on your first Deposit." 翻译为 "Dapatkan Bonus 100% hingga $100 pada Setoran Pertama Anda.") ...

Apa yang Terjadi?

Serangan ini biasanya dimulai dengan email phishing atau tautan yang dibagikan melalui media sosial, pesan langsung, atau situs web yang diretas.

Tidak seperti pengaturan 2FA yang sah, yang mengandalkan kode yang dihasilkan oleh aplikasi atau perangkat, penipuan ini pada akhirnya meminta pengguna untuk memasukkan frasa seed mereka.

Hal ini memberikan kendali penuh kepada penyerang dan memungkinkan mereka untuk menguras dana dalam hitungan detik.

Pengguna menerima email yang tidak diminta yang menyamar sebagai "Dukungan MetaMask", dengan baris subjek seperti "2FA - Lindungi Dompet Anda" atau "Tindakan Diperlukan: Amankan Dompet Anda dengan 2FA".

Email-email tersebut mengklaim bahwa 2FA menjadi wajib untuk mencegah akses tidak sah dan seringk memberlakukan batas waktu palsu untuk menciptakan urgensi.

Mereka menampilkan logo rubah MetaMask dan menyertakan tombol berlabel "Aktifkan 2FA Sekarang!".

Pengguna Metamask menerima email berbahaya yang meminta mereka untuk memperbarui frasa seed. Sumber: X

Mengklik tombol tersebut mengalihkan pengguna ke situs phishing dengan domain yang sangat mirip dengan MetaMask, seringkali menggunakan teknik typosquatting seperti "matamask" alih-alih "metamask".

Situs tersebut menampilkan peringatan keamanan palsu yang memperingatkan potensi risiko dan mendesak tindakan segera.

Pengguna kemudian dipandu ke antarmuka verifikasi 2FA palsu yang mencakup elemen-elemen realistis, seperti penghitung waktu mundur (misalnya, "Selesaikan dalam 5 menit atau risiko pembatasan akun"), untuk menekan kepatuhan yang cepat.

Langkah terakhir meminta pengguna untuk memasukkan frasa seed 12 atau 24 kata mereka dengan dalih "memverifikasi kepemilikan dompet" atau "menyelesaikan pengaturan keamanan".

Beberapa versi menyertakan "pemeriksaan keaslian" palsu untuk membangun kepercayaan.

Setelah dimasukkan, frasa tersebut dikirim ke penyerang, yang dapat mengimpor dompet di tempat lain dan mentransfer semua aset secara instan.

Pengguna Berisiko Kehilangan Seluruh Aset Mereka

MetaMask sendiri secara teknis tidak rentan; eksploitasi ini mengandalkan rekayasa sosial dan kesalahan pengguna.

Karena varian 2FA khusus ini pertama kali dilaporkan secara publik pada 5 Jan 2026, angka kerugian terperinci belum banyak diungkapkan.

Namun, indikator awal menunjukkan potensi kerugian yang cepat karena pencurian langsung frasa seed.

Kampanye phishing MetaMask serupa, seperti penipuan "pembaruan wajib", ditandai oleh penyelidik on-chain ZachXBT hanya beberapa hari sebelumnya.

Penipuan ini telah menguras lebih dari $107.000 dari ratusan dompet di berbagai chain EVM.

Korban biasanya kehilangan jumlah kecil per dompet ($500–$2.000), membuat pencurian awalnya lebih sulit dideteksi dan dilacak.

Dana dialirkan ke alamat yang dikendalikan penyerang, seringkali dalam stablecoin atau ETH, dengan total kerugian ekosistem dari penipuan terkait MetaMask diperkirakan mencapai jutaan dolar setiap tahun.

Jika Anda menjadi korban, segera putuskan sambungan dompet dari situs yang mencurigakan dan transfer dana yang tersisa ke dompet baru.

Tetap waspada adalah kunci di Web3; MetaMask menekankan bahwa keamanan dimulai dengan kesadaran pengguna.

Bagaimana Menghindari Penipuan Seperti Ini

Pertama dan terpenting, sangat penting bagi pengguna yang memegang aset di dompet online dan dompet self-custodial untuk waspada terhadap serangan semacam ini.

Selalu ingat: tidak ada dompet, baik hardware atau software, custodial atau non-custodial, yang pernah meminta frasa seed Anda.

Namun, karena kecanggihan penipuan ini, sulit untuk mendeteksinya sepanjang waktu.

Berikut adalah panduan langkah demi langkah untuk selalu memeriksa ulang email semacam itu, yang menciptakan urgensi:

  • Abaikan email yang tidak diminta yang mengaku dari MetaMask; email resmi tidak pernah menciptakan rasa urgensi atau meminta frasa seed.
  • Periksa domain pengirim untuk keabsahan: [email protected] atau [email protected].
  • Ketik URL secara manual alih-alih mengklik tautan. Arahkan kursor ke tombol untuk memeriksa tujuannya.
  • Jangan pernah memasukkan frasa seed Anda di mana pun kecuali selama penyiapan atau pemulihan dompet awal pada perangkat tepercaya. Simpan secara offline dan gunakan dompet hardware untuk aset bernilai tinggi yang memerlukan konfirmasi fisik untuk transaksi.
  • Aktifkan 2FA nyata pada akun terkait menggunakan aplikasi authenticator alih-alih SMS. Nonaktifkan pencadangan iCloud untuk aplikasi sensitif untuk mencegah akses melalui penipuan Apple ID.
  • Secara teratur cabut persetujuan token menggunakan alat seperti MetaMask Portfolio untuk membatasi akses ke kontrak jahat.

Pilihan Teratas untuk Ethereum
  • Pertukaran Terbaik untuk Ethereum Dapatkan Penawaran Hebat Saat Anda Bergabung dengan Pertukaran Ini
  • Beli Ethereum dengan Cepat & Mudah Cara Membeli Ethereum Dengan Kartu Kredit Sekarang
  • Kasino Online Terbaik untuk Ethereum Lihat Pilihan Kami untuk Situs Perjudian Crypto Terbaik

Pertanyaan Terkait

QApa yang dilakukan penipu dalam serangan phishing 2FA palsu terhadap pengguna MetaMask?

APenipu mengirim email atau tautan phishing yang meniru peringatan resmi MetaMask, meminta pengguna untuk memasukkan frasa seed mereka dengan dalih verifikasi keamanan 2FA. Setelah frasa seed diberikan, penyerang dapat mengontrol dompet dan menguras semua aset dalam hitungan detik.

QBagaimana cara penipu menciptakan urgensi dalam serangan ini?

AMereka menggunakan timer hitung mundur palsu (misalnya 'Selesaikan dalam 5 menit atau akun akan dibatasi') dan klaim bahwa 2FA menjadi wajib untuk mencegah akses tidak sah, sehingga memaksa korban bertindak cepat tanpa berpikir kritis.

QApa yang harus dilakukan jika seseorang telah menjadi korban serangan ini?

ASegera putuskan sambungan dompet dari situs mencurigakan, pindahkan dana yang tersisa ke dompet baru dengan frasa seed yang berbeda, dan laporkan insiden tersebut. MetaMask tidak pernah meminta frasa seed melalui email atau situs web.

QBagaimana cara membedakan email resmi MetaMask dari email phishing?

APeriksa domain pengirim: email resmi MetaMask hanya berasal dari domain '@metamask.io' atau '@consensys.net'. Hindari email yang menciptakan urgensi berlebihan atau meminta frasa seed, dan selalu ketik URL manual daripada mengklik tautan.

QApa langkah pencegahan utama untuk menghindari scam seperti ini?

AJangan pernah membagikan frasa seed kepada siapapun, simpan offline, gunakan dompet hardware untuk aset bernilai tinggi, aktifkan 2FA asli dengan aplikasi autentikator, dan cabut persetujuan token secara berkala menggunakan alat seperti MetaMask Portfolio.

Bacaan Terkait

Cara Menjadi Peneliti yang Baik: Melatih Kemampuan Sebenarnya yang Dapat 'Dilatih Secara Sengaja'

Tidak ada yang benar-benar mengajarimu cara melakukan penelitian. Kamu hanya mendapat meja kerja, masalah yang dipilih orang lain, dan instruksi samar untuk "menghasilkan sesuatu yang baru". Kebanyakan orang akhirnya belajar hanya bagaimana "terlihat" seperti peneliti, bukan menjadi peneliti yang sebenarnya. Kemampuan penelitian yang sesungguhnya adalah tumpukan keterampilan kecil yang hampir semuanya dapat dikembangkan melalui *deliberate practice*. **Pilihlah Masalahmu Sendiri:** Jangan hanya menyerap masalah dari mentor atau tren terkini. Ikuti metode John Schulman: pilih hasil yang benar-benar kamu inginkan, lalu rancang eksperimen untuk mencapainya. Ini menciptakan orisinalitas. "Selera" penelitian seperti otot; latihlah dengan memprediksi hasil eksperimen atau makalah sebelum melihat hasil aslinya, dan uji prediksimu dari waktu ke waktu. **Tingkatkan Input-mu:** Jika bacaanmu hanya dari arXiv atau grup diskusi tren, idemu akan sama dengan orang lain dan tidak berharga. Hargai sumber lama (misalnya, *The Bitter Lesson* dari Richard Sutton tahun 2019 atau pidato Claude Shannon tahun 1952). Kedalaman dan keluasan sama pentingnya. Pinjam pengetahuan dari bidang lain. Baca makalah asli, terutama bagian lampiran dan batasan, bukan sekadar ringkasannya. **Tuliskan Semuanya:** Seperti dikemukakan Paul Graham, sebuah ide baru terasa matang sampai kamu mencoba menuliskannya. Menulis adalah mekanisme pertahanan termurah untuk mengungkap celah dan asumsi yang tidak teruji. Terapkan prinsip Feynman: jangan menipu dirimu sendiri. Ikuti kebiasaan Darwin: catat segera fakta yang bertentangan dengan teorimu. Buatlah log eksperimen (hipotesis, pengaturan, prediksi, hasil, pemahaman baru). Membaca ulang catatanmu dari bulan lalu adalah pelajaran kerendahan hati yang paling efektif.

marsbit54m yang lalu

Cara Menjadi Peneliti yang Baik: Melatih Kemampuan Sebenarnya yang Dapat 'Dilatih Secara Sengaja'

marsbit54m yang lalu

Lonjakan Backpack: Harga Naik Lebih dari 150% dalam Setengah Bulan

Token Backpack (BP) telah melonjak lebih dari 150% dalam dua pekan terakhir, mencapai harga sekitar $0.475. Kenaikan tajam ini didorong oleh peluncuran platform sekuritas Backpack, yang menawarkan layanan perdagangan saham AS yang teregulasi serta produk tokenisasi aset. Produk unggulan pertamanya, token SPCX yang di-backing 1:1 oleh saham SpaceX, telah menghasilkan volume perdagangan on-chain lebih dari $86 juta, menjembatani pasar tradisional dengan ekosistem DeFi Solana. Struktur ekonomi token BP yang unik juga mendukung momentum ini. Dari total pasokan 10 miliar, 25% didistribusikan ke komunitas melalui airdrop pada peluncuran, tanpa alokasi untuk tim atau investor. Mekanisme staking memungkinkan pengguna mendapatkan hak untuk mengonversi BP menjadi ekuitas perusahaan saat IPO nanti, serta berbagai manfaat seperti diskon fee. Saat ini, sekitar 66% dari BP yang beredar telah di-stake. Fokus pasar kini beralih dari pembahasan awal seputar distribusi ke ekspansi platform dan utilitas jangka panjang token seiring perkembangan bisnis baru Backpack.

marsbit1j yang lalu

Lonjakan Backpack: Harga Naik Lebih dari 150% dalam Setengah Bulan

marsbit1j yang lalu

Beralih Sepenuhnya ke Era AI, Alipay Bertaruh pada Percakapan, WeChat Mempertahankan Sosial

**Ringkasan: Era AI Penuh, Alipay Bertaruh pada Percakapan, WeChat Mempertahankan Sosial** Pada pertengahan 2026, Alipay dan WeChat, dua platform raksasa dengan miliaran pengguna, menunjukkan dua jalur berbeda dalam mengintegrasikan AI ke dalam layanan inti mereka. **Alipay: Menulis Ulang Antarmuka dengan Percakapan** Alipay sedang menguji versi AI radikal bernama "Proyek Bao". Alih-alih menambahkan asisten, pengguna dapat beralih ke antarmuka baru yang sepenuhnya digerakkan oleh percakapan. Tujuannya adalah mengompresi serangkaian tugas (misalnya memesan taksi dan kopi) menjadi satu perintah percakapan, di mana AI akan memahami maksud, memecah tugas, dan menjalankan layanan yang sesuai. Keputusan ini didasari oleh kegagalan aplikasi AI independen "Zhi Xiaobao" dan pertimbangan untuk memanfaatkan basis pengguna yang ada tanpa biaya migrasi. Untuk kompatibilitas dengan layanan yang belum diadaptasi, AI Alipay menggunakan teknik "membaca layar" untuk meniru klik pengguna, sambil mendorong pengembang untuk mengadopsi standar MCP/Skill. **WeChat: Menanamkan AI dalam Hubungan Sosial** Berbeda dengan Alipay, WeChat mengambil pendekatan yang sangat hati-hati. Menurut presiden Tencent, AI cerdas WeChat akan terintegrasi secara mendalam dengan hubungan sosial, kemampuan komunikasi, akun publik, dan Channels. AI akan beroperasi sebagai "agen" di dalam konteks yang ada (seperti obrolan grup), membantu pengguna tanpa menggantikan atau mengganggu antarmuka percakapan inti. Untuk memungkinkan AI mengoperasikan layanan mini-program, WeChat menawarkan dua mode kepada pengembang: "Mode Otomatis" (membutuhkan akses ke kode sumber mini-program) atau "Mode Pengembang" (membutuhkan pembungkusan ulang layanan ke dalam Skill standar). Pendekatan ini berpotensi memberatkan pengembang, terutama yang kecil. **Perbedaan Kunci & Dampaknya** * **Strategi Kompatibilitas:** Alipay mengandalkan "membaca layar" sebagai jembatan sementara, sementara WeChat meminta akses kode sumber atau upaya pengembangan ulang dari pengembang. * **Ekonomi Agen:** Alipay telah meluncurkan "Token Pay" dan "Dompet AI" untuk memfasilitasi pembayaran frekuensi tinggi dan otonom oleh AI, dengan lebih dari 300 juta transaksi AI yang divalidasi. WeChat belum mengungkapkan rencana serupa untuk pembayaran berbasis agen. * **Dampak Ekosistem:** Pendekatan Alipay dapat secara pasif "meng-AI-kan" banyak layanan panjang, mungkin memaksa adaptasi. Pendekatan WeChat berisiko meminggirkan pengembang kecil yang enggan atau tidak mampu memenuhi persyaratan akses kode sumber/pengembangan ulang. Pada akhirnya, kedua raksasa ini sedang memperebutkan kepercayaan pengguna untuk mendelegasikan tugas "bantu saya mengerjakan ini". Alipay menawarkan pintu masuk percakapan yang terpusat, sementara WeChat bertujuan untuk menyematkan bantuan AI ke dalam aliran sosial yang ada. Hasilnya akan ditentukan oleh bagaimana jutaan mini-program beradaptasi dan bagaimana miliaran pengguna akhirnya mengadopsi perintah "bantu saya" ini dalam kehidupan digital mereka.

marsbit1j yang lalu

Beralih Sepenuhnya ke Era AI, Alipay Bertaruh pada Percakapan, WeChat Mempertahankan Sosial

marsbit1j yang lalu

Setelah AS Melarang Fable 5, Saham Zhipu AI Melonjak 47%

Harga saham Zhipu AI melonjak 47% di pasar saham Hong Kong pada 15 Juni, dipicu oleh dua peristiwa industri terkini. Pada 12 Juni, Anthropic menangguhkan akses global ke model flagship terbarunya, Claude Fable 5 dan Claude Mythos 5, karena instruksi kontrol ekspor pemerintah AS. Hal ini menimbulkan kekhawatiran di kalangan pengembang dan perusahaan tentang risiko ketidaktersediaan model AI canggih yang tiba-tiba. Sehari kemudian, Zhipu mengumumkan model open-source terbarunya, GLM-5.2, tersedia untuk semua pengguna Coding Plan, dengan API dan bobot model akan dirilis minggu depan di bawah lisensi MIT. Peristiwa ini menyoroti pergeseran dalam industri AI: selain kemampuan, faktor kestabilan, keberlanjutan, dan keterjaminan akses menjadi semakin kritis. GLM-5.2, yang mendukung jendela konteks 1M dan diperkuat untuk tugas coding jangka panjang, diposisikan sebagai alternatif yang lebih dapat diandalkan dan dapat diakses. Analis berpendapat insiden Anthropic mengungkap risiko ketergantungan pada model tertutup yang tunduk pada yurisdiksi tunggal, yang dapat mendorong adopsi yang lebih besar terhadap model dasar domestik dan penyebaran lokal. Reaksi pasar mencerminkan penilaian baru, di mana kemampuan untuk menyediakan kemampuan AI yang stabil, terbuka, dan dapat dikendalikan menjadi aset kompetitif yang semakin penting.

marsbit1j yang lalu

Setelah AS Melarang Fable 5, Saham Zhipu AI Melonjak 47%

marsbit1j yang lalu

Rantai Pasokan, Energi, dan Pengelompokan Blok: Melacak Tema Inti Investasi AI 2026

Skenario investasi global pada tahun 2026 akan sangat dibentuk oleh pergeseran geopolitik besar-besaran, bergerak dari sistem global yang terintegrasi menuju formasi 'blok-blok' atau 'kubu' strategis yang lebih terdefinisi, dengan Amerika Serikat sebagai porosnya. Kerangka investasi utama harus beralih dari analisis siklus tradisional ke penilaian terhadap kubu strategis, penataan ulang rantai pasokan, dan arah belanja modal. Blok yang disukai AS akan mencakup ekonomi dengan aliansi strategis, stabilitas politik, dan kemampuan produksi yang kredibel, seperti Jepang, Korea Selatan, dan mitra di Eropa. Amerika Latin akan mendapatkan perhatian strategis sebagai 'halaman belakang' AS untuk keamanan dan integrasi rantai pasokan. **Energi dan jaringan listrik** menjadi hambatan fisik utama untuk relokasi manufaktur, sehingga akan mendorong investasi besar-besaran dalam energi terbarukan, nuklir, jaringan listrik, dan terutama **penyimpanan energi (baterai)**. Di Eropa, peluang investasi terletak pada perusahaan-perusahaan kelas dunia yang menyediakan 'sekop dan pacul' untuk siklus belanja modal global ini, seperti peralatan kelistrikan, otomasi industri, dan infrastruktur jaringan listrik, terlepas dari pertumbuhan makro regional yang lambat. **Kecerdasan Buatan (AI)** tetap menjadi medan persaingan inti AS-China, yang akan terus mendorong belanja modal besar-besaran dalam komputasi, listrik, jaringan, dan robotika, dengan fokus pada infrastruktur daripada profitabilitas aplikasi dalam jangka pendek. Implikasi portofolio menyarankan **rotasi keluar dari saham teknologi AS besar yang sudah ramai**, menuju aset global yang diuntungkan dari restrukturisasi ini: otomasi industri, infrastruktur kelistrik dan energi, bagian-bagian penting pertahanan, serta pasar non-AS yang diuntungkan dari desain ulang rantai pasokan.

marsbit1j yang lalu

Rantai Pasokan, Energi, dan Pengelompokan Blok: Melacak Tema Inti Investasi AI 2026

marsbit1j yang lalu

Trading

Spot
Futures
活动图片

Kategori Populerright-arrow

Tag Populerright-arrow