Centaines de portefeuilles MetaMask vidés : Ce qu'il faut vérifier avant de faire une « mise à jour »

Le chercheur en sécurité on-chain ZachXBT a signalé des centaines de portefeuilles sur plusieurs chaînes EVM vidés de petits montants, généralement inférieurs à 2 000 $ par victime, convergant vers une seule adresse suspecte.

Le total du vol a dépassé 107 000 $ et a continué d'augmenter. La cause profonde reste inconnue, mais des utilisateurs ont signalé avoir reçu un e-mail d'hameçonnage déguisé en Mise à jour obligatoire de MetaMask, accompagné d'un logo de renard avec un chapeau de fête et d'un objet « Bonne Année ! ».

Cette attaque est survenue alors que les développeurs étaient en vacances, que les canaux d'assistance fonctionnaient avec des équipes réduites et que les utilisateurs parcouraient des boîtes de réception encombrées de promotions du Nouvel An.

Les attaquants exploitent cette fenêtre. Les petits montants par victime suggèrent que le draineur opère via des approbations de contrat plutôt qu'une compromission complète de la Seed phrase dans de nombreux cas, ce qui maintient les pertes individuelles en dessous du seuil où les victimes donnent immédiatement l'alarme, tout en permettant à l'attaquant de passer à l'échelle sur des centaines de portefeuilles.

L'industrie traite encore un incident distinct d'extension de navigateur Trust Wallet dans lequel un code malveillant dans l'extension Chrome v2.68 a collecté des clés privées et vidé au moins 8,5 millions de dollars de 2 520 portefeuilles avant que Trust Wallet ne corrige avec la v2.69.

Deux exploits différents, même leçon : les points d'accès utilisateurs restent le maillon le plus faible.

Anatomie d'un e-mail d'hameçonnage qui fonctionne

L'e-mail d'hameçonnage sur le thème MetaMask démontre pourquoi ces attaques réussissent.

L'identité de l'expéditeur affiche « MetaLiveChain », un nom qui semble vaguement lié à la DeFi mais qui n'a aucun lien avec MetaMask.

L'en-tête de l'e-mail contient un lien de désabonnement pour « reviews@yotpo.com », révélant que l'attaquant a copié des modèles de campagnes marketing légitimes. Le corps présente le logo du renard de MetaMask portant un chapeau de fête, mélangeant joie saisonnière et urgence fabriquée concernant une « mise à jour obligatoire ».

Cette combinaison contourne les heuristiques que la plupart des utilisateurs appliquent aux arnaques évidentes.

La documentation officielle de sécurité de MetaMask établit des règles claires. Les e-mails d'assistance proviennent uniquement d'adresses vérifiées, telles que support@metamask.io, et jamais de domaines tiers.

Le fournisseur de Portefeuille n'envoie pas d'e-mails non sollicités exigeant une vérification ou des mises à niveau.

De plus, aucun représentant ne demandera jamais une Secret Recovery Phrase. Pourtant, ces e-mails fonctionnent car ils exploitent l'écart entre ce que les utilisateurs savent intellectuellement et ce qu'ils font de manière réflexive lorsqu'un message d'apparence officielle arrive.

Quatre signaux exposent l'hameçonnage avant que des dommages ne surviennent.

Premièrement, l'inadéquation marque-expéditeur, car l'image de marque MetaMask de « MetaLiveChain » signale un vol de modèle. Deuxièmement, l'urgence fabriquée autour de mises à jour obligatoires que MetaMask déclare explicitement ne pas envoyer.

Troisièmement, les URL de destination qui ne correspondent pas aux domaines revendiqués, survoler avant de cliquer révèle la cible réelle. Quatrièmement, les demandes qui violent les règles fondamentales du Portefeuille, telles que demander des seed phrases ou inviter à signer des messages Off-chain opaques.

Le cas ZachXBT démontre les mécanismes d'hameçonnage par signature. Les victimes qui ont cliqué sur le faux lien de mise à niveau ont probablement signé une approbation de contrat accordant au draineur la permission de déplacer des tokens.

Cette signature unique a ouvert la porte à un vol continu sur plusieurs chaînes. L'attaquant a choisi de petits montants par Portefeuille car les approbations de contrat comportent souvent des plafonds de dépense illimités par défaut, mais tout vider déclencherait des enquêtes immédiates.

Répartir le vol sur des centaines de victimes à 2 000 $ chacune passe sous le radar individuel tout en accumulant des totaux à six chiffres.

Révoquer les approbations et réduire le rayon d'impact

Une fois qu'un lien d'hameçonnage est cliqué ou qu'une approbation malveillante est signée, la priorité se déplace vers le confinement. MetaMask permet désormais aux utilisateurs de consulter et de révoquer les allocations de tokens directement dans MetaMask Portfolio.

Revoke.cash guide les utilisateurs à travers un processus simple : connectez votre Portefeuille, inspectez les approbations par réseau et envoyez des transactions de révocation pour les contrats non fiables.

La page Token Approvals d'Etherscan offre la même fonctionnalité pour la révocation manuelle des approbations ERC-20, ERC-721 et ERC-1155. Ces outils comptent car les victimes qui agissent rapidement pourraient couper l'accès du draineur avant de tout perdre.

La distinction entre compromission d'approbation et compromission de Seed phrase détermine si un Portefeuille peut être sauvé. Le guide de sécurité de MetaMask trace une ligne dure : si vous suspectez que votre Secret Recovery Phrase a été exposée, arrêtez immédiatement d'utiliser ce Portefeuille.

Créez un nouveau Portefeuille sur un appareil neuf, transférez les actifs restants et traitez la seed d'origine comme définitivement brûlée. Révoquer les approbations aide lorsque l'attaquant ne détient que des permissions de contrat ; si votre seed est partie, l'ensemble du Portefeuille doit être abandonné.

Chainalysis a documenté environ 158 000 compromissions de portefeuilles personnels affectant au moins 80 000 personnes en 2025, même si la valeur totale volée est tombée à environ 713 millions de dollars.

Les attaquants frappent plus de portefeuilles pour des montants plus faibles, le schéma identifié par ZachXBT. L'implication pratique : organiser les portefeuilles pour limiter le rayon d'impact compte autant que d'éviter l'hameçonnage.

Un seul Portefeuille compromis ne devrait pas signifier une perte totale du portefeuille.

Construire une défense en profondeur

Les fournisseurs de Portefeuille ont livré des fonctionnalités qui auraient contenu cette attaque si elles avaient été adoptées.

MetaMask encourage désormais la définition de plafonds de dépense sur les approbations de tokens plutôt que d'accepter les permissions « illimitées » par défaut. Revoke.cash et le tableau de bord Shield de De.Fi préconisent de traiter les révisions d'approbation comme une hygiène de routine parallèlement à l'utilisation de portefeuilles matériels pour les avoirs à long terme.

MetaMask active les alertes de sécurité des transactions de Blockaid par défaut, signalant les contrats suspects avant l'exécution des signatures.

L'incident de l'extension Trust Wallet renforce le besoin de défense en profondeur. Cet exploit a contourné les décisions des utilisateurs, et un code malveillant dans une liste officielle Chrome a automatiquement collecté les clés.

Les utilisateurs qui ont séparé les avoirs entre portefeuilles matériels (stockage à froid), portefeuilles logiciels (transactions tièdes) et portefeuilles brûleur (protocoles expérimentaux) ont limité l'exposition.

Ce modèle à trois niveaux crée des frictions, mais la friction est le but. Un e-mail d'hameçonnage qui capture un portefeuille brûleur coûte des centaines ou quelques milliers de dollars. La même attaque contre un seul Portefeuille détenant un portefeuille entier coûte de l'argent qui change la vie.

Le draineur ZachXBT a réussi car il a ciblé la couture entre commodité et sécurité. La plupart des utilisateurs conservent tout dans une seule instance MetaMask car gérer plusieurs portefeuilles semble encombrant.

L'attaquant a parié qu'un e-mail d'apparence professionnelle le jour du Nouvel An prendrait suffisamment de personnes au dépourvu pour générer un volume rentable. Ce pari a été gagnant, avec 107 000 $ et plus.

Ce qui est en jeu

Cet incident pose une question plus profonde : qui porte la responsabilité de la sécurité des points d'accès dans un monde d'auto-garde ?

Les fournisseurs de Portefeuille construisent des outils anti-hameçonnage, les chercheurs publient des rapports de menaces et les régulateurs avertissent les consommateurs. Pourtant, l'attaquant n'avait besoin que d'un faux e-mail, d'un logo cloné et d'un contrat draineur pour compromettre des centaines de portefeuilles.

L'infrastructure qui permet l'auto-garde, les transactions sans permission, les adresses pseudonymes et les transferts irréversibles la rend également impitoyable.

L'industrie traite cela comme un problème d'éducation : si les utilisateurs vérifiaient les adresses d'expéditeur, survolaient les liens et révoquaient les anciennes approbations, les attaques échoueraient.

Pourtant, les données de Chainalysis sur 158 000 compromissions suggèrent que l'éducation seule ne passe pas à l'échelle. Les attaquants s'adaptent plus vite que les utilisateurs n'apprennent. L'e-mail d'hameçonnage MetaMask a évolué de modèles bruts « Votre Portefeuille est verrouillé ! » vers des campagnes saisonnières polies.

L'exploit de l'extension Trust Wallet a prouvé que même les utilisateurs prudents peuvent perdre des fonds si les canaux de distribution sont compromis.

Ce qui fonctionne : portefeuilles matériels pour les avoirs significatifs, révocation impitoyable des approbations, ségrégation des portefeuilles par profil de risque et scepticisme envers tout message non sollicité des fournisseurs de Portefeuille.

Ce qui ne fonctionne pas : supposer que les interfaces de Portefeuille sont sûres par défaut, traiter les approbations comme des décisions uniques, ou consolider tous les actifs dans un seul Portefeuille chaud pour la commodité. Le draineur ZachXBT sera fermé car l'adresse est signalée et les plateformes d'échange gèleront les Dépôts on-chain.

Mais un autre draineur sera lancé la semaine prochaine avec un modèle légèrement différent et une nouvelle adresse de contrat.

Le cycle continue jusqu'à ce que les utilisateurs intériorisent que la commodité de la cryptomonnaie crée une surface d'attaque qui finit par être exploitée. Le choix n'est pas entre sécurité et utilisabilité, mais plutôt entre friction maintenant et perte plus tard.

L'article Centaines de portefeuilles MetaMask vidés : Ce qu'il faut vérifier avant de « mettre à jour » est apparu en premier sur CryptoSlate.