SlowMist met en garde contre une arnaque sophistiquée 2FA ciblant les portefeuilles MetaMask

Le directeur de la sécurité de SlowMist "23pds" a émis un avertissement urgent concernant une nouvelle escroquerie en ligne par hameçonnage ciblant les utilisateurs de MetaMask via de fausses pages de vérification d'authentification à deux facteurs (2FA) conçues pour voler les phrases de récupération de portefeuille.

Cette attaque sophistiquée imite l'interface de sécurité de MetaMask en utilisant des noms de domaine usurpés qui ressemblent étroitement à la plateforme légitime, trompant les utilisateurs en leur faisant croire qu'ils effectuent des procédures de sécurité standard tout en abandonnant des identifiants critiques de portefeuille.

L'escroquerie fonctionne à travers plusieurs étapes trompeuses qui exploitent la confiance des utilisateurs dans les protocoles de sécurité.

Les attaquants créent des domaines frauduleux comme "mertamask" au lieu de "metamask" et redirigent les victimes vers des pages d'alerte de sécurité convaincantes qui semblent authentiques.

Les utilisateurs rencontrent ensuite ce qui semble être un écran de vérification 2FA standard, avec des minuteurs de compte à rebours et des rappels de sécurité réalistes, ce qui crée une fausse confiance avant que l'étape finale ne demande leur phrase de récupération sous couvert d'achèvement de l'authentification.

Un nouveau vecteur d'attaque émerge alors que les tactiques d'hameçonnage évoluent

Bien que les pertes globales dues à l'hameçonnage aient fortement diminué en 2025, avec des attaques de drainage de portefeuille chutant de 83 % à 83,85 millions de dollars contre près de 494 millions de dollars l'année précédente, les attaquants continuent d'adapter leurs méthodes.

Selon un rapport de Cryptonews, le nombre d'utilisateurs affectés est tombé à environ 106 000, soit une baisse de 68 % d'une année sur l'autre.

Pourtant, des opérations sophistiquées comme l'escroquerie 2FA de MetaMask montrent que les acteurs malveillants continuent d'affiner les tactiques d'ingénierie sociale même si les pertes globales diminuent.

L'activité d'hameçonnage a suivi de près les cycles du marché tout au long de 2025, le troisième trimestre enregistrant les pertes les plus élevées à 31 millions de dollars pendant la plus forte reprise d'Ethereum.

Août et septembre à eux seuls ont représenté près de 29 % des pertes annuelles totales, renforçant ce que les experts en sécurité considèrent comme l'hameçonnage fonctionnant comme une "fonction de probabilité de l'activité des utilisateurs", où des volumes de transactions plus élevés augmentent le bassin de victimes potentielles.

Le plus grand incident unique de l'année a impliqué un vol de 6,5 millions de dollars en septembre lié à une signature Permit malveillante.

Les approbations Permit et Permit2 sont restées les vecteurs d'attaque les plus efficaces, représentant 38 % des pertes dans les cas dépassant 1 million de dollars, tandis que de nouveaux vecteurs d'attaque sont apparus suite à la mise à niveau Pectra d'Ethereum.

Les attaquants ont commencé à abuser des signatures malveillantes basées sur EIP-7702, qui permettent de regrouper plusieurs actions nuisibles en une seule approbation d'utilisateur, conduisant à deux incidents de ce type en août qui ont entraîné 2,54 millions de dollars de pertes.

Malgré la baisse globale, les attaquants ont changé de stratégie, passant de vols à grande échelle à des campagnes de masse ciblant les particuliers, avec seulement 11 cas dépassant 1 million de dollars en 2025 contre 30 l'année précédente.

La perte moyenne par victime est tombée à 790 dollars, indiquant un accent plus large sur les utilisateurs particuliers plutôt que sur des vols isolés de grande envergure.

Des attaques coordonnées récentes ont drainé des centaines de portefeuilles sur des réseaux compatibles EVM, avec des pertes individuelles généralement inférieures à 2 000 dollars par adresse.

L'industrie mobilise des réseaux de défense contre les menaces persistantes

Les principaux fournisseurs de portefeuilles, notamment MetaMask, Phantom, WalletConnect et Backpack, ont lancé un réseau mondial de défense contre l'hameçonnage en partenariat avec la Security Alliance (SEAL), créant ce qu'ils décrivent comme un "système immunitaire décentralisé" pour l'identification des menaces en temps réel.

Le système permet à quiconque dans le monde de soumettre des rapports d'hameçonnage vérifiables, qui sont automatiquement validés et diffusés à tous les portefeuilles participants, permettant des temps de réponse plus rapides et potentiellement de sauvegarder plus de fonds.

"Les draineurs sont un jeu constant du chat et de la souris", a déclaré Ohm Shah, chercheur en sécurité chez MetaMask. "Le partenariat avec SEAL permet aux développeurs de portefeuilles d'agir plus rapidement et de mettre des bâtons dans les roues de l'infrastructure des draineurs."

L'effort de défense s'appuie sur l'outil de rapports d'hameçonnage vérifiables de SEAL, qui permet aux chercheurs en sécurité de prouver que les sites web signalés hébergent réellement du contenu d'hameçonnage.

Au-delà des exploits techniques, la technologie deepfake est apparue comme un autre vecteur de menace, le cofondateur de Manta Network Kenny Li révélant en avril qu'il avait été ciblé lors d'un appel Zoom sophistiqué utilisant des vidéos préenregistrées de personnes familières.

Les attaquants ont tenté de le piéger en lui faisant télécharger des fichiers de script malveillants déguisés en mises à jour Zoom, Li soupçonnant l'implication du groupe Lazarus lié à la Corée du Nord.

Pendant ce temps, les pertes liées aux cryptomonnaies dues aux piratages et aux exploits de cybersécurité ont chuté de 60 % en décembre pour atteindre environ 76 millions de dollars, contre 194,2 millions de dollars en novembre.

Cependant, les experts en sécurité mettent en garde que des menaces persistantes telles que les escroqueries par détournement d'adresse et les exploits de portefeuilles de navigateur continuent de cibler les utilisateurs à travers l'écosystème.