MetaMask Users Under Attack: Fake 2FA Scam Draining Wallets in Seconds

ccn.comXuất bản vào 2026-01-05Cập nhật gần nhất vào 2026-01-05

Tóm tắt

MetaMask users are being targeted by a sophisticated phishing scam that uses fake two-factor authentication (2FA) prompts to steal seed phrases and drain wallets within seconds. The attack begins with fraudulent emails or social media messages impersonating MetaMask support, urging users to enable "mandatory 2FA" under false urgency. Victims are directed to convincing phishing sites that mimic MetaMask’s interface, complete with countdown timers. Once users enter their seed phrase, attackers gain full control of their wallets and immediately transfer all assets. Security firm SlowMist first reported the scam on January 5. While specific loss figures are still emerging, similar recent phishing campaigns have already stolen over $107,000 from hundreds of wallets. MetaMask emphasizes that it never asks for seed phrases via email and advises users to ignore unsolicited security alerts, verify sender addresses, manually type URLs, and use hardware wallets for high-value assets. Enabling authenticator-based 2FA and regularly revoking token approvals are also recommended precautions.

Key Takeaways

  • Scammers are targeting MetaMask users with fake “2FA security verification” pages that mimic official alerts.
  • The phishing sites use countdown timers and urgency to trick victims into entering their seed phrases.
  • Once the seed phrase is submitted, attackers gain complete control and can instantly drain wallets.

MetaMask, the leading non-custodial Ethereum wallet, is facing an active two-factor authentication (2FA) scam that has recently drained multiple user wallets.

Cybersecurity firm SlowMist flagged the attack on Jan. 5, noting that scammers lure victims through a series of fake web pages designed to closely mimic official MetaMask interfaces, ultimately tricking users into revealing their wallet seed phrases.

Try Our Recommended Crypto Exchanges
Sponsored
Disclosure
We sometimes use affiliate links in our content, when clicking on those we might receive a commission at no extra cost to you. By using this website you agree to our terms and conditions and privacy policy.
"}' data-trk="68df7fd8872238d510dfbf06" href="https://clicks.pipaffiliates.com/c?c=1104900&l=en&p=1" rel="nofollow" target="_blank">
XM.com<\/h3>"}' data-trk="68df7fd8872238d510dfbf06" href="https://clicks.pipaffiliates.com/c?c=1104900&l=en&p=1" rel="nofollow" target="_blank">

XM.com

promotions
Get 100% Bonus up to $100 on your first Deposit.<\/strong>"}' data-trk="68df7fd8872238d510dfbf06" href="https://clicks.pipaffiliates.com/c?c=1104900&l=en&p=1" rel="nofollow" target="_blank"> Get 100% Bonus up to $100 on your first Deposit.
Coins
28
Claim Offer
"}' data-trk="6899b9831836d97539c51aa6" href="https://www.bitunix.com/" rel="nofollow" target="_blank">
Bitunix<\/h3>"}' data-trk="6899b9831836d97539c51aa6" href="https://www.bitunix.com/" rel="nofollow" target="_blank">

Bitunix

promotions
Receive up to $100,000 worth of exclusive gifts for newcomers upon registration.<\/strong>"}' data-trk="6899b9831836d97539c51aa6" href="https://www.bitunix.com/" rel="nofollow" target="_blank"> Receive up to $100,000 worth of exclusive gifts for newcomers upon registration.
Coins
151
Claim Offer
"}' data-trk="67adf8d4f12aaec7e4808bf5" href="https://bonus.bitget.com/CCN12" rel="nofollow" target="_blank">
Bitget<\/h3>"}' data-trk="67adf8d4f12aaec7e4808bf5" href="https://bonus.bitget.com/CCN12" rel="nofollow" target="_blank">

Bitget

promotions
Earn rewards worth up to 5,000 USDT on your first deposit<\/strong>"}' data-trk="67adf8d4f12aaec7e4808bf5" href="https://bonus.bitget.com/CCN12" rel="nofollow" target="_blank"> Earn rewards worth up to 5,000 USDT on your first deposit
Coins
88
Claim Offer

What Happened?

The attack typically begins with a phishing email or link shared via social media, direct messages, or compromised websites.

Unlike legitimate 2FA setups, which rely on codes generated by apps or devices, this scam ultimately prompts users to enter their seed phrase.

This grants attackers full control and enables them to drain funds within seconds.

Users receive unsolicited emails posing as “MetaMask Support,” with subject lines such as “2FA – Protect Your Wallet” or “Action Required: Secure Your Wallet with 2FA.”

The emails claim that 2FA is becoming mandatory to prevent unauthorized access and often impose a fake deadline to create urgency.

They feature the MetaMask fox logo and include a button labeled “Enable 2FA Now!”

Metamask users received malicious emails asking them to update their seed phrase. Source: X

Clicking the button redirects users to a phishing site with a domain closely resembling MetaMask’s, often using typosquatting techniques such as “matamask” instead of “metamask.”

The site displays a fake security alert warning of potential risks and urges immediate action.

Users are then guided to a counterfeit 2FA verification interface that includes realistic elements, such as countdown timers (e.g., “Complete in 5 minutes or risk account restriction”), to pressure quick compliance.

The final step asks users to enter their 12- or 24-word seed phrase under the pretense of “verifying wallet ownership” or “completing security setup.”

Some versions include a fake “authenticity check” to build trust.

Once entered, the phrase is sent to the attackers, who can import the wallet elsewhere and transfer all assets instantly.

Users Risk Losing Their Total Holdings

MetaMask itself is not technically vulnerable; the exploit relies on social engineering and user error.

As this specific 2FA variant was first publicly reported on Jan. 5, 2026, detailed loss figures have not yet been widely disclosed.

However, early indicators suggest a rapid potential for loss due to the direct theft of seed phrases.

Similar MetaMask phishing campaigns, such as the “mandatory update” scam, were flagged by on-chain investigator ZachXBT just days prior.

These scams have drained over $107,000 from hundreds of wallets across EVM chains.

Victims typically lose small amounts per wallet ($500–$2,000), making the thefts initially harder to detect and trace.

Funds are funneled to attacker-controlled addresses, often in stablecoins or ETH, with total ecosystem losses from MetaMask-related scams estimated in the millions annually.

If you’ve fallen victim, immediately disconnect the wallet from suspicious sites and transfer any remaining funds to a new wallet.

Staying vigilant is key in Web3; MetaMask emphasizes that security begins with user awareness.

How To Avoid Such Scams

First and foremost, it’s crucial for users holding assets in online wallets and self-custodial wallets to be wary of such attacks.

Always remember: no wallet, whether hardware or software, custodial or non-custodial, should ever ask for your seed phrase.

However, due to the sophistication of these scams, it’s hard to detect them all the time.

Here’s a step-by-step guide to always double-check any such emails, creating urgency:

  • Ignore unsolicited emails claiming to be from MetaMask; official ones never create a sense of urgency or request seed phrases.
  • Check the sender domains for legitimacy: [email protected] or [email protected].
  • Manually type URLs instead of clicking links. Hover over buttons to inspect destinations.
  • Never enter your seed phrase anywhere except during initial wallet setup or recovery on a trusted device. Store it offline and use a hardware wallet for high-value assets to require physical confirmation for transactions.
  • Enable real 2FA on related accounts using authenticator apps instead of SMS. Disable iCloud backups for sensitive apps to prevent access via Apple ID scams.
  • Regularly revoke token approvals using tools like MetaMask Portfolio to limit access to malicious contracts.

Top Picks for Ethereum
  • Best Exchanges for Ethereum Get A Great Offer When You Join These Exchanges
  • Buy Ethereum Fast & Easy How To Buy Ethereum With a Credit Card Now
  • Best Online Casinos for Ethereum See Our Picks for the Best Crypto Gambling Sites

Câu hỏi Liên quan

QWhat is the main tactic scammers use in the fake 2FA attack on MetaMask users?

AScammers use phishing emails or links that mimic official MetaMask alerts, complete with countdown timers and a sense of urgency, to trick users into entering their seed phrases on fake websites.

QWhat is the ultimate goal of the attackers once they obtain a user's seed phrase?

AOnce the seed phrase is obtained, attackers gain complete control over the user's wallet and can instantly drain all the funds and assets from it.

QAccording to the article, what is a key indicator that an email claiming to be from MetaMask support is a scam?

AA key indicator is that the email creates a sense of urgency, such as imposing a fake deadline, and requests the user's seed phrase, which legitimate MetaMask support would never do.

QWhat proactive step can users take to limit the damage from malicious smart contracts?

AUsers can regularly revoke token approvals using tools like the MetaMask Portfolio to limit the access that malicious contracts have to their funds.

QWhat type of wallet does the article recommend for users holding high-value assets, and why?

AThe article recommends using a hardware wallet for high-value assets because it requires physical confirmation for transactions, adding a significant layer of security.

Nội dung Liên quan

Mối liên hệ giữa Hoàng Trinh làm Pinduoduo và blockchain là gì?

Tác giả phân tích mối liên hệ giữa người sáng lập Pinduoduo Hoàng Tranh và công nghệ blockchain thông qua bài viết "Đảo Ngược Chủ Nghĩa Tư Bản" của ông. Bài viết chỉ ra rằng logic cốt lõi của Pinduoduo thực chất là một mô hình kinh doanh dựa trên "sự không chắc chắn". Hoàng Tranh cho rằng người giàu tích lũy tài sản bằng cách gánh chịu rủi ro thay cho người khác. Pinduoduo, thông qua các hình thức như mua sắm nhóm và khuyến mãi thời gian giới hạn, tập hợp lượng lớn nhu cầu cá nhân để tạo ra một đơn hàng xác định, giúp nhà máy giảm thiểu rủi ro tồn kho. Đổi lại, nhà máy giảm giá, tạo thành cơ chế "bảo hiểm ngược" khiến dòng tiền chảy ngược về phía người tiêu dùng. Tuy nhiên, điểm then chốt là lời hứa của một cá nhân thiếu độ tin cậy. Gần cuối bài, Hoàng Tranh tự đặt câu hỏi: phải chăng blockchain được sinh ra cho mô hình "bảo hiểm ngược" này? Ông nhận thấy blockchain, với hợp đồng thông minh và cơ chế phi tập trung, có thể giải quyết vấn đề này: biến lời hứa mua hàng thành cam kết có chi phí răn đe nếu vi phạm, có thể định giá và đáng tin cậy, từ đó thay thế sự tin cậy dựa trên con người bằng sự tin cậy dựa trên quy tắc. Bài viết còn so sánh hai con đường tạo ra sự chắc chắn: Con đường của Pinduoduo dùng quy mô để san bằng rủi ro, trong khi con đường của Bitcoin (đại diện cho blockchain) dùng các quy tắc mã hóa bất biến để loại bỏ sự can thiệp chủ quan. Cả hai đều phải trả giá, một bên hy sinh một phần tự do cá nhân, một bên hy sinh tính linh hoạt của quy tắc.

链捕手33 phút trước

Mối liên hệ giữa Hoàng Trinh làm Pinduoduo và blockchain là gì?

链捕手33 phút trước

Vị đại gia lưu trữ xây dựng nên vạn ức giang sơn, rốt cuộc không thành tỷ phú

Tập đoàn Trường Tân (Changxin) sắp lên sàn STAR Market với kỳ vọng định giá có thể vượt một nghìn tỷ NDT, thậm chí hai nghìn tỷ. Tuy nhiên, "linh hồn" của công ty, Chu Nhất Minh, chỉ sở hữu dưới 3% cổ phần (gián tiếp), khó có thể trở thành tỷ phú hàng đầu dù công ty đạt định giá cao. Bài viết phân tích con đường phát triển của GigaDevice (兆易创新), do Chu Nhất Minh sáng lập, được coi là "Tiền truyện của Trường Tân". Với vốn ban đầu ít ỏi, GigaDevice đã phát triển chiến lược "nhặt lộc" (捡漏) trong kẽ hở thị trường, tận dụng cơ hội khi các gã khổng lồ quốc tế rút lui khỏi các phân khúc bộ nhớ cũ như NOR Flash, SLC NAND và DRAM lợi thế. Công ty đa dạng hóa từ bộ nhớ sang vi điều khiển (MCU), cảm biến và chip analog, tạo thành bốn trụ cột sản phẩm, trong đó bộ nhớ và MCU vẫn chiếm đa số doanh thu. GigaDevice thể hiện là một cổ phiếu chất lượng trong ngành bộ nhớ có tính chu kỳ cao. Công ty duy trì biên lợi nhuận gộp ổn định trên 40%, kiểm soát tốt tỷ lệ chi phí và luôn có lợi nhuận hoạt động dương. Tuy lợi nhuận ròng biến động theo chu kỳ ngành, công ty đã phục hồi mạnh mẽ vào năm 2025 và quý I/2026. Tuy nhiên, bài viết chỉ ra rằng mô hình Fabless (không sở hữu nhà máy) của GigaDevice là một hạn chế trong ngành bộ nhớ, nơi mô hình IDM (tích hợp dọc) và khả năng mở rộng sản xuất ngược chu kỳ thường là chìa khóa để tồn tại và chiến thắng. Để giải quyết vấn đề này, năm 2016, Chu Nhất Minh hợp tác với chính quyền Hợp Phì thành lập Trường Tân Khoa Kỹ (Changxin), một công ty IDM chuyên về DRAM với vốn đầu tư cực lớn. Chu Nhất Minh đã có những cam kết mạnh mẽ như không nhận lương cho đến khi công ty có lãi và chia sẻ lợi ích cổ phần, giúp thu hút đầu tư mạo hiểm từ nhà nước và ngân hàng. Đầu tư vào cơ sở vật chất, thiết bị của Trường Tân thậm chí đã vượt qua Tập đoàn BYD. Kết luận, dù có thể tạo ra những công ty trị giá nghìn tỷ, nhưng do cơ cấu sở hữu cổ phần và mô hình kinh doanh, Chu Nhất Minh khó lòng lọt vào danh sách những người giàu nhất.

marsbit39 phút trước

Vị đại gia lưu trữ xây dựng nên vạn ức giang sơn, rốt cuộc không thành tỷ phú

marsbit39 phút trước

Lỗ Hổng Quản Trị Token Of Power Làm Thất Thoát 1.58 Triệu Đô WETH, TRM Cảnh Báo

Công ty phân tích blockchain TRM Labs đã báo cáo một vụ khai thác lỗ hổng quản trị trong giao thức Token of Power, dẫn đến thiệt hại khoảng 1,58 triệu USD giá trị WETH. Theo phân tích, kẻ tấn công lợi dụng điểm yếu trong thiết lập DAO Aragon của giao thức: việc không có timelock (khóa thời gian). Điều này cho phép chúng đề xuất, bỏ phiếu và thực thi một hành động quản trị độc hại chỉ trong một khối duy nhất. Được tài trợ ban đầu bằng 662 ETH rút từ Tornado Cash, kẻ tấn công đã mua đủ token TOP để giành quyền biểu quyết đa số, đúc mới 10 tỷ TOP, rồi hoán đổi số token này lấy WETH thông qua một pool Balancer trước khi chuyển tiền trở lại Tornado Cash. Sự kiện này là một minh chứng rõ ràng về rủi ro bảo mật từ thiết kế quản trị. Timelock có vai trò quan trọng trong việc tạo ra khoảng thời gian phản ứng cho cộng đồng trước khi một đề xuất được thực thi. Vụ việc cũng nhắc nhở người dùng DeFi rằng rủi ro không chỉ nằm ở lỗi mã hợp đồng thông minh, mà còn ở các tham số quản trị, kiểm soát kho bạc và ngưỡng biểu quyết. Cộng đồng hiện đang theo dõi động thái tiếp theo của số tiền bị đánh cắp và các thông tin khắc phục từ giao thức, Aragon hoặc các nhà cung cấp thanh khoản bị ảnh hưởng. Báo cáo dựa trên thông tin từ báo cáo bảo mật on-chain của TRM Labs.

bitcoinist3 giờ trước

Lỗ Hổng Quản Trị Token Of Power Làm Thất Thoát 1.58 Triệu Đô WETH, TRM Cảnh Báo

bitcoinist3 giờ trước

Phí Hàng Ngày Trên XRP Ledger Giảm Xuống Dưới 400 USD Khi Câu Hỏi Về Hoạt Động Mạng Lại Xuất Hiện

Mạng lưới XRP Ledger (XRPL) lại một lần nữa được đưa vào tầm ngắm khi dữ liệu phí hàng ngày được báo cáo giảm xuống dưới 400 USD, theo số liệu từ DefiLlama. Mức phí thấp vốn là một thiết kế và điểm mạnh của XRPL, nhằm đảm bảo giao dịch rẻ và dễ tiếp cận. Tuy nhiên, doanh thu phí cũng có thể được xem như một chỉ báo về mức độ hoạt động, nhu cầu thực tế và quy mô sử dụng có trả phí trên mạng. Việc phí đốt hàng tuần chỉ khoảng 3.100 USD làm nổi bật sự tương phản với các blockchain như Ethereum hay Bitcoin. Trong khi những người ủng hộ coi phí thấp là dấu hiệu của hiệu quả, thì một số ý kiến có thể đặt câu hỏi liệu mức phí thấp như vậy có phản ánh đủ nhu cầu giao dịch giá trị cao hay không, nhất là trong bối cảnh XRP thường được gắn với câu chuyện về thanh toán và ứng dụng doanh nghiệp. Điều quan trọng là không suy diễn quá mức từ một ngày phí thấp. Nó không có nghĩa mạng lưới thất bại hay ngừng hoạt động, mà chỉ cung cấp một dữ liệu để phân tích thêm. Bối cảnh này cũng tạo nên sự so sánh thú vị với các nỗ lực mở rộng của Ripple vào RLUSD, thanh toán AI và hạ tầng thanh toán doanh nghiệp. Cần theo dõi xem liệu con số phí có phục hồi không, số lượng giao dịch có kể một câu chuyện khác không, và các công cụ khám phá chuỗi khối XRPL như Bithomp có xác nhận xu hướng này hay không. Các câu chuyện crypto mạnh mẽ ngày càng đến từ dữ liệu on-chain, bản cập nhật giao thức và thông báo chính thức, hơn là chỉ từ bình luận. Do đó, báo cáo này nên được xem như một phần của bức tranh tổng thể về môi trường vận hành crypto, dựa trên nguồn đã xác minh và để ngỏ cho các dữ liệu tiếp theo.

bitcoinist5 giờ trước

Phí Hàng Ngày Trên XRP Ledger Giảm Xuống Dưới 400 USD Khi Câu Hỏi Về Hoạt Động Mạng Lại Xuất Hiện

bitcoinist5 giờ trước

Ripple Ra Mắt XRPL AI Starter Kit Cho Các Thanh Toán Đại Lý XRP Và RLUSD

Ripple đã ra mắt Bộ công cụ khởi động AI XRPL, một bộ công cụ dành cho nhà phát triển được thiết kế để giúp các tác nhân phần mềm thực hiện thanh toán bằng XRP và Ripple USD (RLUSD). Đây được mô tả là Giai đoạn 1 trong nỗ lực mở rộng hơn vào lĩnh vực thanh toán tự động trên XRP Ledger. Bộ công cụ này tích hợp hỗ trợ cho tiêu chuẩn thanh toán x402 và bao gồm Máy chủ MCP Tài liệu XRPL, cho phép kết nối các hệ thống AI như Claude và Cursor trực tiếp với tài liệu kỹ thuật của XRPL. Động thái này mang đến cho XRP một câu chuyện mới tập trung vào tính hữu ích, trong bối cảnh các nhà phát triển và công ty thanh toán đang khám phá cách các tác nhân tự trị có thể thanh toán cho API, dịch vụ, dữ liệu và các giao dịch máy với máy khác. Ripple không chỉ nói về chủ đề AI mà đang cố gắng kết nối các tác nhân AI với hạ tầng thanh toán sử dụng XRP và RLUSD, nhắm đến các giao dịch cần tốc độ xử lý nhanh, phí thấp và ổn định. Đối với thị trường, đây là một bản cập nhật sản phẩm cụ thể từ nguồn chính thức. Các bước tiếp theo cần theo dõi bao gồm cập nhật tài liệu kỹ thuật, ví dụ mã nguồn, hoạt động trên mạng thử nghiệm và phản hồi từ các nhà phát triển.

bitcoinist7 giờ trước

Ripple Ra Mắt XRPL AI Starter Kit Cho Các Thanh Toán Đại Lý XRP Và RLUSD

bitcoinist7 giờ trước

Giao dịch

Giao ngay
Hợp đồng Tương lai
活动图片

Danh mục Phổ biếnright-arrow

Thẻ Nổi bậtright-arrow