2026-01-04 10:39:40

Cảnh báo! Các email lừa đảo giả mạo MetaMask đã khiến hàng trăm ví bị đánh cắp, thiệt hại vượt quá 10.000 USD

Gần đây, ZachXBT tiết lộ một vụ trộm tiền điện tử quy mô lớn, gây thiệt hại tổng cộng hơn 10,7 nghìn USD.

Khác với các cuộc tấn công vào tài sản lớn trước đây, lần này kẻ tấn công đã sử dụng chiến lược “dò rộng”, lấy trộm các khoản nhỏ không quá 2000 USD từ hàng trăm ví khác nhau. Phương thức này ít gây cảnh báo hơn, nhưng tích tụ lại thành nhiều, giúp cuộc tấn công âm thầm lan rộng.

Lý do chiến dịch tấn công này thành công là do trong kỳ nghỉ Tết Nguyên Đán, thời gian cửa sổ, khiến các nhà phát triển và đội ngũ hỗ trợ khách hàng thiếu nhân lực, hộp thư đến của người dùng đầy ắp email khuyến mãi, giảm đáng kể cảnh giác. Nhân cơ hội này, kẻ tấn công đã gửi các email lừa đảo tinh vi giả mạo.

Kẻ tấn công không chỉ sử dụng logo đặc trưng của MetaMask với chiếc mũ dự tiệc lễ hội, mà còn lấy chủ đề “Cập nhật bắt buộc + Chúc mừng năm mới”, tạo cảm giác khẩn cấp từ phía chính thức, dụ dỗ nhiều người dùng nhấp vào liên kết.

Loại tấn công này thành công chủ yếu nhờ vào việc tận dụng chính xác thói quen và tâm lý của người dùng.

Thông tin người gửi hiển thị tên có vẻ liên quan đến MetaMask là “MetaLiveChain”, liên kết “Hủy đăng ký” trong nội dung thậm chí dẫn đến một nền tảng dịch vụ marketing thực sự, mục đích chính là dụ người dùng nhấp vào liên kết và ký một “thỏa thuận ủy quyền” độc hại.

Một khi người dùng ký xong, kẻ tấn công sẽ có quyền chuyển token từ ví đó mà không cần lấy toàn bộ cụm từ khôi phục.

Theo dữ liệu của Chainalysis, trong năm 2025, có khoảng 158.000 vụ trộm ví cá nhân, ít nhất 80.000 người bị ảnh hưởng, tổng giá trị tài sản bị đánh cắp cùng kỳ giảm xuống còn khoảng 713 triệu USD.

Tổng thể, xu hướng tấn công trộm tiền điện tử hiện nay đang chuyển sang hướng “ít nhưng nhiều vụ”. Mặc dù giá trị trung bình mỗi vụ giảm, nhưng số vụ ví cá nhân bị trộm tăng vọt, số người bị ảnh hưởng đông đảo, phản ánh chiến lược của kẻ tấn công đang thay đổi.

Ngoài việc cảnh giác, không nhấp vào các liên kết đáng ngờ, không tiết lộ cụm từ khôi phục, nhà đầu tư cá nhân còn cần chủ động tăng cường kiểm tra xác thực trong quá trình thao tác để xây dựng hàng rào an toàn vững chắc. Bởi vì, an toàn thực sự không phải là loại bỏ tất cả rủi ro, mà là kiểm soát thiệt hại tiềm năng trong phạm vi có thể chấp nhận được.

#MetaMask钓鱼攻击

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.