On-chain beveiligingsonderzoeker ZachXBT signaleerde honderden portemonnees over meerdere EVM-ketens die voor kleine bedragen werden geleegd, doorgaans onder de $2.000 per slachtoffer, die werden gekanaliseerd naar één enkel verdacht adres.
Het totale diefstal bedrag klom boven de $107.000 en bleef stijgen. De hoofdoorzaak is nog onbekend, maar gebruikers meldden dat ze een phishing-e-mail ontvingen die was vermomd als een verplichte MetaMask-upgrade, compleet met een feesthoed-vos logo en een "Gelukkig Nieuwjaar!" onderwerpregel.
Deze aanval vond plaats toen ontwikkelaars met vakantie waren, ondersteuningskanalen met minimale bezetting werkten en gebruikers door inboxen scrollden die vol zaten met Nieuwjaarspromoties.
Aanvallers maken misbruik van dat tijdsvenster. De kleine bedragen per slachtoffer suggereren dat de drainer in veel gevallen werkt via contractgoedkeuringen in plaats van volledige seed-phrase compromittering, wat individuele verliezen onder de drempel houdt waarbij slachtoffers onmiddellijk alarm slaan, maar de aanvaller in staat stelt om op te schalen over honderden portemonnees.
De industrie verwerkt nog steeds een apart Trust Wallet-browserextensie incident waarbij kwaadaardige code in Chrome-extensie v2.68 privésleutels verzamelde en minstens $8,5 miljoen uit 2.520 portemonnees leegde voordat Trust Wallet een patch uitbracht naar v2.69.
Twee verschillende exploits, dezelfde les: eindpunten van gebruikers blijven de zwakste schakel.
Anatomie van een phishing-e-mail die werkt
De MetaMask-themed phishing-e-mail demonstreert waarom deze aanvallen slagen.
De afzenderidentiteit toont "MetaLiveChain", een naam die vaag DeFi-aangrenzend klinkt maar geen connectie heeft met MetaMask.
De e-mailheader bevat een uitschrijflink voor "[email protected]", wat onthult dat de aanvaller sjablonen heeft overgenomen van legitieme marketingcampagnes. De body bevat MetaMask's vos-logo met een feesthoed, waarmee seizoensvreugde wordt gemengd met gefabriceerde urgentie over een "verplichte update".
Die combinatie omzeilt de heuristieken die de meeste gebruikers toepassen op duidelijke oplichting.
De phishing-e-mail doet zich voor als MetaMask met een feesthoed-vos logo, waarbij valselijk wordt beweerd dat een "verplichte" 2026 systeemupgrade vereist is voor toegang tot het account.MetaMask's officiële beveiligingsdocumentatie stelt duidelijke regels vast. Ondersteunings-e-mails komen alleen van geverifieerde adressen, zoals [email protected], en nooit van domeinen van derden.
De wallet-aanbieder stuurt geen ongevraagde e-mails met verzoeken om verificatie of upgrades.
Bovendien zal geen enkele vertegenwoordiger ooit om een Geheime Herstelzin vragen. Toch werken deze e-mails omdat ze misbruik maken van de kloof tussen wat gebruikers intellectueel weten en wat ze reflexmatig doen wanneer een officieel uitziend bericht binnenkomt.
Vier signalen onthullen phishing voordat er schade optreedt.
Ten eerste, merk-afzender mismatch, aangezien MetaMask-branding van "MetaLiveChain" sjabloondiefstal signaleert. Ten tweede, gefabriceerde urgentie rond verplichte updates die MetaMask expliciet zegt niet te zullen sturen.
Ten derde, bestemmings-URL's die niet overeenkomen met geclaimde domeinen; zweven voordat u klikt onthult het werkelijke doel. Ten vierde, verzoeken die kernportemonnee-regels schenden, zoals vragen om seed-phrases of aansporen tot handtekeningen op ondoorzichtige off-chain berichten.
De ZachXBT-zaak demonstreert handtekening-phishing mechanica. Slachtoffers die op de valse upgradelink klikten, hebben waarschijnlijk een contractgoedkeuring ondertekend die de drainer toestemming gaf om tokens te verplaatsen.
Die enkele handtekening opende de deur naar voortdurende diefstal over meerdere ketens. De aanvaller koos kleine bedragen per portemonnee omdat contractgoedkeuringen vaak standaard onbeperkte uitgavencaps hebben, maar het legen van alles zou onmiddellijke onderzoeken triggeren.
Diefstal spreiden over honderden slachtoffers van elk $2.000 vliegt onder de individuele radar terwijl zesvoudige totalen worden opgebouwd.
Goedkeuringen intrekken en explosieradius verkleinen
Zodra op een phishing-link is geklikt of een kwaadaardige goedkeuring is ondertekend, verschuift de prioriteit naar inperking. MetaMask laat gebruikers nu token-toelagen bekijken en intrekken direct binnen MetaMask Portfolio.
Revoke.cash begeleidt gebruikers door een eenvoudig proces: sluit uw portemonnee aan, inspecteer goedkeuringen per netwerk en stuur intrekkingstransacties voor niet-vertrouwde contracten.
Etherscan's Token Approvals-pagina biedt dezelfde functionaliteit voor handmatige intrekking van ERC-20, ERC-721 en ERC-1155 goedkeuringen. Deze tools zijn belangrijk omdat slachtoffers die snel handelen de toegang van de drainer kunnen afsluiten voordat ze alles verliezen.
Het onderscheid tussen goedkeuringscompromis en seed-phrase compromis bepaalt of een portemonnee kan worden gered. MetaMask's beveiligingsgids trekt een harde lijn: als u vermoedt dat uw Geheime Herstelzin is blootgesteld, stop dan onmiddellijk met het gebruik van die portemonnee.
Maak een nieuwe portemonnee op een nieuw apparaat, draag resterende activa over en behandel de originele seed als permanent verbrand. Het intrekken van goedkeuringen helpt wanneer de aanvaller alleen contractrechten heeft; als uw seed weg is, moet de hele portemonnee worden verlaten.
Chainalysis documenteerde ongeveer 158.000 persoonlijke portemonnee compromissen die minstens 80.000 mensen troffen in 2025, zelfs toen de totale gestolen waarde daalde tot ongeveer $713 miljoen.
Persoonlijke portemonnee-verliezen als aandeel van totale crypto-diefstal stegen van ongeveer 10% in 2022 naar bijna 25% in 2025, volgens Chainalysis-gegevens.Aanvallers raken meer portemonnees voor kleinere bedragen, het patroon dat ZachXBT identificeerde. De praktische implicatie: portemonnees organiseren om explosieradius te beperken is net zo belangrijk als phishing vermijden.
Een enkele gecompromitteerde portemonnee mag niet betekenen dat de hele portfolio verloren gaat.
Defense-in-depth opbouwen
Wallet-aanbieders hebben functies uitgebracht die deze aanval zouden hebben ingeperkt als ze waren geadopteerd.
MetaMask moedigt nu aan om uitgavenlimieten in te stellen op token-goedkeuringen in plaats van de standaard "onbeperkte" rechten te accepteren. Revoke.cash en De.Fi's Shield-dashboard pleiten voor het behandelen van goedkeuringsbeoordelingen als routinehygiëne naast hardware wallet-gebruik voor langetermijnbezittingen.
MetaMask schakelt transactiebeveiligingswaarschuwingen van Blockaid standaard in, waarbij verdachte contracten worden gemarkeerd voordat handtekeningen worden uitgevoerd.
Het Trust Wallet-extensie incident versterkt de noodzaak voor defense-in-depth. Die exploit omzeilde gebruikersbeslissingen en kwaadaardige code in een officiële Chrome-vermelding verzamelde automatisch sleutels.
Gebruikers die bezittingen scheidden over hardware wallets (koude opslag), software wallets (warme transacties) en wegwerp-wallets (experimentele protocollen) beperkten de blootstelling.
Dat drielagige model creëert wrijving, maar wrijving is het punt. Een phishing-e-mail die een wegwerp-wallet vastlegt kost honderden of een paar duizend dollar. Dezelfde aanval tegen één enkele portemonnee met een hele portfolio kost levensveranderend geld.
De ZachXBT drainer slaagde omdat het zich richtte op de naad tussen gemak en beveiliging. Meeste gebruikers bewaren alles in één MetaMask-instantie omdat het beheren van meerdere portemonnees omslachtig aanvoelt.
De aanvaller wedde dat een professioneel uitziende e-mail op Nieuwjaarsdag genoeg mensen zou verrassen om winstgevend volume te genereren. Die weddenschap loonde, met $107.000 en oplopend.
MetaMask's officiële richtlijnen identificeren drie phishing rode vlaggen: verkeerde afzenderadressen, ongevraagde dringende upgrade-eisen en verzoeken om Geheime Herstelzinnen of wachtwoorden.Wat er op het spel staat
Dit incident roept een diepere vraag op: wie draagt verantwoordelijkheid voor eindpuntbeveiliging in een zelf-bewaar wereld?
Wallet-aanbieders bouwen anti-phishing tools, onderzoekers publiceren dreigingsrapporten en toezichthouders waarschuwen consumenten. Toch had de aanvaller alleen een valse e-mail, een gekloond logo en een drainer-contract nodig om honderden portemonnees te compromitteren.
De infrastructuur die zelfbewaring, toestemmingsloze transacties, pseudonieme adressen en onomkeerbare overdrachten mogelijk maakt, maakt het ook meedogenloos.
De industrie behandelt dit als een opleidingsprobleem: als gebruikers afzenderadressen verifiëren, over links zweven en oude goedkeuringen intrekken, zouden aanvallen mislukken.
Toch suggereert Chainalysis's gegevens over 158.000 compromissen dat onderwijs alleen niet schaalt. Aanvallers passen zich sneller aan dan gebruikers leren. De MetaMask phishing-e-mail evolueerde van ruwe "Uw portemonnee is vergrendeld!" sjablonen naar gepolijste seizoenscampagnes.
De Trust Wallet-extensie exploit bewees dat zelfs voorzichtige gebruikers fondsen kunnen verliezen als distributiekanalen worden gecompromitteerd.
Wat werkt: hardware wallets voor betekenisvolle bezittingen, meedogenloze goedkeuringsintrekking, wallet-segregatie op basis van risicoprofiel en scepticisme jegens elk ongevraagd bericht van wallet-aanbieders.
Wat niet werkt: aannemen dat wallet-interfaces standaard veilig zijn, goedkeuringen als eenmalige beslissingen behandelen, of alle activa consolideren in een enkele hot wallet voor gemak. De ZachXBT drainer zal worden stilgelegd omdat het adres is gemarkeerd en exchanges stortingen zullen bevriezen.
Maar volgende week zal een andere drainer lanceren met een iets ander sjabloon en een nieuw contract
adres.
De cyclus gaat door totdat gebruikers internaliseren dat het gemak van crypto een aanvalsoppervlak creëert dat uiteindelijk wordt uitgebuit. De keuze is niet tussen beveiliging en bruikbaarheid, maar enigszins tussen wrijving nu en verlies later.
Bron: https://cryptoslate.com/hundreds-of-evm-wallets-drained-what-to-check-before-you-update/
