Poin-Poin Penting
- Para penipu menargetkan pengguna MetaMask dengan halaman "verifikasi keamanan 2FA" palsu yang meniru peringatan resmi.
- Situs phishing menggunakan penghitung waktu mundur dan rasa urgensi untuk menipu korban agar memasukkan frasa seed mereka.
- Setelah frasa seed dikirimkan, penyerang mendapatkan kendali penuh dan dapat langsung menguras isi dompet.
MetaMask, dompet Ethereum non-custodial terkemuka, sedang menghadapi penipuan autentikasi dua faktor (2FA) aktif yang baru-baru ini telah menguras beberapa dompet pengguna.
Perusahaan keamanan siber SlowMist menandai serangan ini pada 5 Jan, mencatat bahwa para penipu memancing korban melalui serangkaian halaman web palsu yang dirancang untuk sangat meniru antarmuka resmi MetaMask, yang pada akhirnya menipu pengguna untuk mengungkapkan frasa seed dompet mereka.
Serangan ini biasanya dimulai dengan email phishing atau tautan yang dibagikan melalui media sosial, pesan langsung, atau situs web yang diretas. Tidak seperti pengaturan 2FA yang sah, yang mengandalkan kode yang dihasilkan oleh aplikasi atau perangkat, penipuan ini pada akhirnya meminta pengguna untuk memasukkan frasa seed mereka. Hal ini memberikan kendali penuh kepada penyerang dan memungkinkan mereka untuk menguras dana dalam hitungan detik. Pengguna menerima email yang tidak diminta yang menyamar sebagai "Dukungan MetaMask", dengan baris subjek seperti "2FA - Lindungi Dompet Anda" atau "Tindakan Diperlukan: Amankan Dompet Anda dengan 2FA". Email-email tersebut mengklaim bahwa 2FA menjadi wajib untuk mencegah akses tidak sah dan seringk memberlakukan batas waktu palsu untuk menciptakan urgensi. Mereka menampilkan logo rubah MetaMask dan menyertakan tombol berlabel "Aktifkan 2FA Sekarang!". Mengklik tombol tersebut mengalihkan pengguna ke situs phishing dengan domain yang sangat mirip dengan MetaMask, seringkali menggunakan teknik typosquatting seperti "matamask" alih-alih "metamask". Situs tersebut menampilkan peringatan keamanan palsu yang memperingatkan potensi risiko dan mendesak tindakan segera. Pengguna kemudian dipandu ke antarmuka verifikasi 2FA palsu yang mencakup elemen-elemen realistis, seperti penghitung waktu mundur (misalnya, "Selesaikan dalam 5 menit atau risiko pembatasan akun"), untuk menekan kepatuhan yang cepat. Langkah terakhir meminta pengguna untuk memasukkan frasa seed 12 atau 24 kata mereka dengan dalih "memverifikasi kepemilikan dompet" atau "menyelesaikan pengaturan keamanan". Beberapa versi menyertakan "pemeriksaan keaslian" palsu untuk membangun kepercayaan. Setelah dimasukkan, frasa tersebut dikirim ke penyerang, yang dapat mengimpor dompet di tempat lain dan mentransfer semua aset secara instan. MetaMask sendiri secara teknis tidak rentan; eksploitasi ini mengandalkan rekayasa sosial dan kesalahan pengguna. Karena varian 2FA khusus ini pertama kali dilaporkan secara publik pada 5 Jan 2026, angka kerugian terperinci belum banyak diungkapkan. Namun, indikator awal menunjukkan potensi kerugian yang cepat karena pencurian langsung frasa seed. Kampanye phishing MetaMask serupa, seperti penipuan "pembaruan wajib", ditandai oleh penyelidik on-chain ZachXBT hanya beberapa hari sebelumnya. Penipuan ini telah menguras lebih dari $107.000 dari ratusan dompet di berbagai chain EVM. Korban biasanya kehilangan jumlah kecil per dompet ($500–$2.000), membuat pencurian awalnya lebih sulit dideteksi dan dilacak. Dana dialirkan ke alamat yang dikendalikan penyerang, seringkali dalam stablecoin atau ETH, dengan total kerugian ekosistem dari penipuan terkait MetaMask diperkirakan mencapai jutaan dolar setiap tahun. Jika Anda menjadi korban, segera putuskan sambungan dompet dari situs yang mencurigakan dan transfer dana yang tersisa ke dompet baru. Tetap waspada adalah kunci di Web3; MetaMask menekankan bahwa keamanan dimulai dengan kesadaran pengguna. Pertama dan terpenting, sangat penting bagi pengguna yang memegang aset di dompet online dan dompet self-custodial untuk waspada terhadap serangan semacam ini. Selalu ingat: tidak ada dompet, baik hardware atau software, custodial atau non-custodial, yang pernah meminta frasa seed Anda. Namun, karena kecanggihan penipuan ini, sulit untuk mendeteksinya sepanjang waktu. Berikut adalah panduan langkah demi langkah untuk selalu memeriksa ulang email semacam itu, yang menciptakan urgensi:
QApa yang dilakukan penipu dalam serangan phishing 2FA palsu terhadap pengguna MetaMask? APenipu mengirim email atau tautan phishing yang meniru peringatan resmi MetaMask, meminta pengguna untuk memasukkan frasa seed mereka dengan dalih verifikasi keamanan 2FA. Setelah frasa seed diberikan, penyerang dapat mengontrol dompet dan menguras semua aset dalam hitungan detik. QBagaimana cara penipu menciptakan urgensi dalam serangan ini? AMereka menggunakan timer hitung mundur palsu (misalnya 'Selesaikan dalam 5 menit atau akun akan dibatasi') dan klaim bahwa 2FA menjadi wajib untuk mencegah akses tidak sah, sehingga memaksa korban bertindak cepat tanpa berpikir kritis. QApa yang harus dilakukan jika seseorang telah menjadi korban serangan ini? ASegera putuskan sambungan dompet dari situs mencurigakan, pindahkan dana yang tersisa ke dompet baru dengan frasa seed yang berbeda, dan laporkan insiden tersebut. MetaMask tidak pernah meminta frasa seed melalui email atau situs web. QBagaimana cara membedakan email resmi MetaMask dari email phishing? APeriksa domain pengirim: email resmi MetaMask hanya berasal dari domain '@metamask.io' atau '@consensys.net'. Hindari email yang menciptakan urgensi berlebihan atau meminta frasa seed, dan selalu ketik URL manual daripada mengklik tautan. QApa langkah pencegahan utama untuk menghindari scam seperti ini? AJangan pernah membagikan frasa seed kepada siapapun, simpan offline, gunakan dompet hardware untuk aset bernilai tinggi, aktifkan 2FA asli dengan aplikasi autentikator, dan cabut persetujuan token secara berkala menggunakan alat seperti MetaMask Portfolio.Apa yang Terjadi?
Pengguna Berisiko Kehilangan Seluruh Aset Mereka
Bagaimana Menghindari Penipuan Seperti Ini
Pertanyaan Terkait
Bacaan Terkait
Trading
