Honderden MetaMask-wallets geleegd: Waar je op moet letten voordat je 'update'

On-chain beveiligingsonderzoeker ZachXBT signaleerde honderden wallets op meerdere EVM-ketens die werden geleegd voor kleine bedragen, doorgaans onder de $2.000 per slachtoffer, die werden doorgesluisd naar een enkel verdacht adres.

Het totale diefstal bedrag steeg tot boven de $107.000 en bleef stijgen. De hoofdoorzaak is nog steeds onbekend, maar gebruikers meldden dat ze een phishing-e-mail hadden ontvangen die was vermomd als een verplichte MetaMask-upgrade, compleet met een voslogo met feesthoedje en een onderwerpregel "Gelukkig Nieuwjaar!".

Deze aanval vond plaats toen ontwikkelaars met vakantie waren, ondersteuningskanalen met minimale bezetting draaiden en gebruikers door inboxen scrollden die vol zaten met Nieuwjaarspromoties.

Aanvallers maken gebruik van dat tijdvenster. De kleine bedragen per slachtoffer suggereren dat de drainer in veel gevallen werkt via contractgoedkeuringen in plaats van volledige compromittering van de seed-phrase, waardoor individuele verliezen onder de drempel blijven waarbij slachtoffers onmiddellijk alarm slaan, maar waardoor de aanvaller kan opschalen naar honderden wallets.

De industrie verwerkt nog steeds een afzonderlijk incident met de Trust Wallet-browserextensie waarbij kwaadaardige code in Chrome-extensie v2.68 privésleutels verzamelde en minstens $8,5 miljoen uit 2.520 wallets leegde voordat Trust Wallet een patch uitbracht naar v2.69.

Twee verschillende exploits, dezelfde les: gebruikersendpoints blijven de zwakste schakel.

Anatomie van een phishing-e-mail die werkt

De MetaMask-thema phishing-e-mail demonstreert waarom deze aanvallen slagen.

De afzender-identiteit toont "MetaLiveChain," een naam die vaag DeFi-gerelateerd klinkt maar geen verbinding heeft met MetaMask.

De e-mailheader bevat een uitschrijflink voor "reviews@yotpo.com," wat onthult dat de aanvaller sjablonen heeft overgenomen van legitieme marketingcampagnes. De body toont het voslogo van MetaMask met een feesthoedje, waarbij seizoensvreugde wordt gecombineerd met gefabriceerde urgentie over een "verplichte update".

Die combinatie omzeilt de heuristieken die de meeste gebruikers toepassen op voor de hand liggende oplichting.

De officiële beveiligingsdocumentatie van MetaMask stelt duidelijke regels vast. Ondersteunings-e-mails komen alleen van geverifieerde adressen, zoals support@metamask.io, en nooit van third-party domeinen.

De wallet-provider stuurt geen ongevraagde e-mails waarin verificatie of upgrades worden geëist.

Bovendien zal geen enkele vertegenwoordiger ooit vragen om een Secret Recovery Phrase. Toch werken deze e-mails omdat ze misbruik maken van de kloof tussen wat gebruikers intellectueel weten en wat ze reflexmatig doen wanneer een officieel ogende boodschap arriveert.

Vier signalen onthullen phishing voordat schade optreedt.

Ten eerste, mismatch tussen merk en afzender, aangezien MetaMask-branding van "MetaLiveChain" diefstal van het sjabloon signaleert. Ten tweede, gefabriceerde urgentie rond verplichte updates waarvan MetaMask expliciet zegt dat ze die niet zullen sturen.

Ten derde, bestemmings-URL's die niet overeenkomen met geclaimde domeinen; hoveren voordat u klikt onthult het werkelijke doel. Ten vierde, verzoeken die kernregels van de wallet schenden, zoals vragen om seed-phrases of het vragen om handtekeningen op ondoorzichtige off-chain berichten.

De ZachXBT-zaak demonstreert handtekening-phishing mechanica. Slachtoffers die op de valse upgrade-link klikten, ondertekenden waarschijnlijk een contractgoedkeuring waarmee de drainer toestemming kreeg om tokens te verplaatsen.

Die enkele handtekening opende de deur naar voortdurende diefstal over meerdere ketens. De aanvaller koos voor kleine bedragen per wallet omdat contractgoedkeuringen vaak standaard onbeperkte bestedingslimieten hebben, maar alles leegmaken zou onmiddellijke onderzoeken triggeren.

Diefstal spreiden over honderden slachtoffers van elk $2.000 vliegt onder de individuele radar terwijl bedragen van zes cijfers worden verzameld.

Goedkeuringen intrekken en explosieradius verkleinen

Zodra er op een phishing-link wordt geklikt of een kwaadaardige goedkeuring wordt ondertekend, verschuift de prioriteit naar inperking. MetaMask stelt gebruikers nu in staat om tokentoestemmingen rechtstreeks in MetaMask Portfolio te bekijken en in te trekken.

Revoke.cash leidt gebruikers door een eenvoudig proces: verbind uw wallet, inspecteer goedkeuringen per netwerk en stuur intrekkingstransacties voor niet-vertrouwde contracten.

De Token Approvals-pagina van Etherscan biedt dezelfde functionaliteit voor handmatige intrekking van ERC-20, ERC-721 en ERC-1155 goedkeuringen. Deze tools zijn belangrijk omdat slachtoffers die snel handelen de toegang van de drainer kunnen afsnijden voordat ze alles verliezen.

Het onderscheid tussen compromittering van goedkeuring en compromittering van seed-phrase bepaalt of een wallet kan worden gered. De beveiligingsgids van MetaMask trekt een harde lijn: als u vermoedt dat uw Secret Recovery Phrase is blootgesteld, stop dan onmiddellijk met het gebruik van die wallet.

Maak een nieuwe wallet aan op een nieuw apparaat, draag resterende activa over en beschouw de oorspronkelijke seed als permanent verbrand. Het intrekken van goedkeuringen helpt wanneer de aanvaller alleen contractrechten heeft; als uw seed weg is, moet de hele wallet worden verlaten.

Chainalysis documenteerde ongeveer 158.000 compromitteringen van persoonlijke wallets die minstens 80.000 mensen troffen in 2025, ook al daalde de totale gestolen waarde tot ongeveer $713 miljoen.

Aanvallers raken meer wallets voor kleinere bedragen, het patroon dat ZachXBT identificeerde. De praktische implicatie: het organiseren van wallets om de explosieradius te beperken is net zo belangrijk als het vermijden van phishing.

Een enkele gecompromitteerde wallet mag niet leiden tot totaal portefeuilleverlies.

Defense-in-depth opbouwen

Wallet-providers hebben functies uitgebracht die deze aanval hadden ingeperkt als ze waren aangenomen.

MetaMask moedigt nu aan om bestedingslimieten in te stellen op tokengoedkeuringen in plaats van de standaard "onbeperkte" rechten te accepteren. Revoke.cash en De.Fi's Shield-dashboard pleiten ervoor om goedkeuringsbeoordelingen als routinehygiëne te behandelen, samen met het gebruik van hardware wallets voor langetermijnbezit.

MetaMask schakelt standaard beveiligingswaarschuwingen voor transacties van Blockaid in, waarbij verdachte contracten worden gemarkeerd voordat handtekeningen worden uitgevoerd.

Het incident met de Trust Wallet-extensie benadrukt de noodzaak van defense-in-depth. Die exploit omzeilde gebruikersbeslissingen en kwaadaardige code in een officiële Chrome-vermelding verzamelde automatisch sleutels.

Gebruikers die bezit verdeelden over hardware wallets (cold storage), software wallets (warme transacties) en burner wallets (experimentele protocollen) beperkten de blootstelling.

Dat drielagenmodel creëert wrijving, maar wrijving is het punt. Een phishing-e-mail die een burner wallet vangt kost honderden of een paar duizend dollar. Dezelfde aanval tegen een enkele wallet met een hele portefeuille kost levensveranderend geld.

De ZachXBT-drainer slaagde omdat hij zich richtte op de naad tussen gemak en veiligheid. De meeste gebruikers bewaren alles in één MetaMask-instantie omdat het beheren van meerdere wallets omslachtig aanvoelt.

De aanvaller wedde dat een professioneel ogende e-mail op Nieuwjaarsdag genoeg mensen zou verrassen om winstgevend volume te genereren. Die weddenschap loonde, met $107.000 en tellend.

Wat er op het spel staat

Dit incident stelt een diepere vraag: wie draagt de verantwoordelijkheid voor endpoint-beveiliging in een zelfbeheerde wereld?

Wallet-providers bouwen anti-phishing tools, onderzoekers publiceren dreigingsrapporten en toezichthouders waarschuwen consumenten. Toch had de aanvaller alleen een valse e-mail, een gekloond logo en een drainer-contract nodig om honderden wallets te compromitteren.

De infrastructuur die zelfbeheer, toestemmingsloze transacties, pseudonieme adressen en onomkeerbare overdrachten mogelijk maakt, maakt het ook meedogenloos.

De industrie behandelt dit als een onderwijsprobleem: als gebruikers afzenderadressen zouden verifiëren, over links zouden hoveren en oude goedkeuringen zouden intrekken, zouden aanvallen mislukken.

Toch suggereren de gegevens van Chainalysis over 158.000 compromitteringen dat onderwijs alleen niet schaalt. Aanvallers passen zich sneller aan dan gebruikers leren. De MetaMask phishing-e-mail evolueerde van ruwe "Uw wallet is vergrendeld!" sjablonen naar gepolijste seizoenscampagnes.

De Trust Wallet-extensie exploit bewees dat zelfs voorzichtige gebruikers fondsen kunnen verliezen als distributiekanalen worden gecompromitteerd.

Wat werkt: hardware wallets voor belangrijk bezit, genadeloze goedkeuringsintrekking, walletsegregatie op basis van risicoprofiel en scepsis tegenover elk ongevraagd bericht van wallet-providers.

Wat niet werkt: ervan uitgaan dat wallet-interfaces standaard veilig zijn, goedkeuringen behandelen als eenmalige beslissingen, of alle activa consolideren in een enkele hot wallet voor gemak. De ZachXBT-drainer zal worden stilgelegd omdat het adres is gemarkeerd en beurzen stortingen zullen bevriezen.

Maar volgende week wordt er een andere drainer gelanceerd met een iets ander sjabloon en een nieuw contractadres.

De cyclus gaat door totdat gebruikers internaliseren dat het gemak van crypto een aanvalsoppervlak creëert dat uiteindelijk wordt uitgebuit. De keuze is niet tussen beveiliging en bruikbaarheid, maar eerder tussen wrijving nu en verlies later.

Het bericht Honderden MetaMask-wallets geleegd: Wat te controleren voordat u 'updatet' verscheen eerst op CryptoSlate.