Centenas de carteiras MetaMask esvaziadas: O que verificar antes de 'atualizar'

O investigador de segurança on-chain ZachXBT sinalizou centenas de carteiras em várias cadeias EVM a serem drenadas por pequenos valores, normalmente abaixo de $2.000 por vítima, canalizados para um único endereço suspeito.

O total do roubo ultrapassou os $107.000 e continuou a subir. A causa raiz ainda é desconhecida, mas os utilizadores relataram ter recebido um e-mail de phishing disfarçado de atualização obrigatória do MetaMask, completo com um logótipo de raposa com chapéu de festa e uma linha de assunto "Feliz Ano Novo!".

Este ataque chegou quando os programadores estavam de férias, os canais de suporte funcionavam com equipas reduzidas e os utilizadores percorriam caixas de entrada repletas de promoções de Ano Novo.

Os atacantes exploram essa janela. Os pequenos valores por vítima sugerem que o drainer opera com base em aprovações de contratos em vez de comprometimento completo de frase-semente em muitos casos, o que mantém as perdas individuais abaixo do limite onde as vítimas fazem soar alarmes imediatamente, mas permite ao atacante escalar através de centenas de carteiras.

A indústria ainda está a processar um incidente separado da extensão de navegador Trust Wallet, no qual código malicioso na extensão Chrome v2.68 recolheu chaves privadas e drenou pelo menos $8,5 milhões de 2.520 carteiras antes da Trust Wallet lançar o patch v2.69.

Duas explorações diferentes, mesma lição: os pontos finais do utilizador continuam a ser o elo mais fraco.

Anatomia de um e-mail de phishing que funciona

O e-mail de phishing com tema MetaMask demonstra porque é que estes ataques têm sucesso.

A identidade do remetente mostra "MetaLiveChain", um nome que soa vagamente adjacente a DeFi mas não tem ligação com o MetaMask.

O cabeçalho do e-mail contém um link de cancelamento de subscrição para "reviews@yotpo.com", revelando que o atacante copiou modelos de campanhas de marketing legítimas. O corpo apresenta o logótipo da raposa do MetaMask com um chapéu de festa, misturando alegria sazonal com urgência fabricada sobre uma "atualização obrigatória".

Essa combinação contorna as heurísticas que a maioria dos utilizadores aplica a burlas óbvias.

A documentação oficial de segurança do MetaMask estabelece regras claras. Os e-mails de suporte vêm apenas de endereços verificados, como support@metamask.io, e nunca de domínios de terceiros.

O fornecedor de carteira não envia e-mails não solicitados a exigir verificação ou atualizações.

Além disso, nenhum representante pedirá alguma vez uma Frase de Recuperação Secreta. No entanto, estes e-mails funcionam porque exploram a lacuna entre o que os utilizadores sabem intelectualmente e o que fazem reflexivamente quando chega uma mensagem com aparência oficial.

Quatro sinais expõem o phishing antes de ocorrerem danos.

Primeiro, incompatibilidade marca-remetente, já que a marca MetaMask de "MetaLiveChain" sinaliza roubo de modelo. Segundo, urgência fabricada em torno de atualizações obrigatórias que o MetaMask diz explicitamente que não enviará.

Terceiro, URLs de destino que não correspondem aos domínios alegados, passar o rato antes de clicar revela o alvo real. Quarto, pedidos que violam regras essenciais da carteira, como pedir frases-semente ou solicitar assinaturas em mensagens off-chain opacas.

O caso ZachXBT demonstra mecânicas de phishing de assinatura. As vítimas que clicaram no link de atualização falso provavelmente assinaram uma aprovação de contrato concedendo ao drainer permissão para mover tokens.

Essa única assinatura abriu a porta para roubo contínuo em várias cadeias. O atacante escolheu pequenos valores por carteira porque as aprovações de contrato frequentemente carregam limites de gastos ilimitados por padrão, mas drenar tudo desencadearia investigações imediatas.

Espalhar o roubo por centenas de vítimas a $2.000 cada passa despercebido ao radar individual enquanto acumula totais de seis dígitos.

Revogar aprovações e reduzir o raio de explosão

Uma vez que um link de phishing é clicado ou uma aprovação maliciosa é assinada, a prioridade muda para contenção. O MetaMask permite agora que os utilizadores visualizem e revoguem permissões de tokens diretamente dentro do MetaMask Portfolio.

O Revoke.cash orienta os utilizadores através de um processo simples: conectar a carteira, inspecionar aprovações por rede e enviar transações de revogação para contratos não confiáveis.

A página Token Approvals do Etherscan oferece a mesma funcionalidade para revogação manual de aprovações ERC-20, ERC-721 e ERC-1155. Estas ferramentas são importantes porque as vítimas que agem rapidamente podem cortar o acesso do drainer antes de perder tudo.

A distinção entre comprometimento de aprovação e comprometimento de frase-semente determina se uma carteira pode ser salva. O guia de segurança do MetaMask traça uma linha dura: se suspeitar que a sua Frase de Recuperação Secreta foi exposta, pare de usar essa carteira imediatamente.

Crie uma nova carteira num dispositivo novo, transfira os ativos restantes e trate a semente original como permanentemente queimada. Revogar aprovações ajuda quando o atacante apenas detém permissões de contrato; se a sua semente desapareceu, a carteira inteira deve ser abandonada.

A Chainalysis documentou aproximadamente 158.000 comprometimentos de carteiras pessoais afetando pelo menos 80.000 pessoas em 2025, mesmo quando o valor total roubado caiu para aproximadamente $713 milhões.

Os atacantes atingem mais carteiras por valores menores, o padrão que o ZachXBT identificou. A implicação prática: organizar carteiras para limitar o raio de explosão é tão importante quanto evitar phishing.

Uma única carteira comprometida não deve significar perda total do portfólio.

Construir defesa em profundidade

Os fornecedores de carteiras lançaram funcionalidades que teriam contido este ataque se adotadas.

O MetaMask agora encoraja a definição de limites de gastos em aprovações de tokens em vez de aceitar as permissões padrão "ilimitadas". O Revoke.cash e o painel Shield da De.Fi defendem que as revisões de aprovação sejam tratadas como higiene de rotina juntamente com o uso de carteira de hardware para participações de longo prazo.

O MetaMask ativa alertas de segurança de transações do Blockaid por padrão, sinalizando contratos suspeitos antes das assinaturas serem executadas.

O incidente da extensão Trust Wallet reforça a necessidade de defesa em profundidade. Essa exploração contornou as decisões do utilizador, e código malicioso numa listagem oficial do Chrome recolheu automaticamente chaves.

Os utilizadores que segregaram participações através de carteiras de hardware (armazenamento frio), carteiras de software (transações quentes) e Carteiras descartáveis (protocolos experimentais) limitaram a exposição.

Esse modelo de três níveis cria atrito, mas o atrito é o objetivo. Um e-mail de phishing que captura uma Carteira descartável custa centenas ou alguns milhares de dólares. O mesmo ataque contra uma única carteira contendo um portfólio inteiro custa dinheiro que muda vidas.

O drainer ZachXBT teve sucesso porque visou a costura entre conveniência e segurança. A maioria dos utilizadores mantém tudo numa instância do MetaMask porque gerir várias carteiras parece incómodo.

O atacante apostou que um e-mail com aparência profissional no Dia de Ano Novo apanharia pessoas suficientes desprevenidas para gerar volume lucrativo. Essa aposta compensou, com $107.000 e a contar.

O que está em jogo

Este incidente coloca uma questão mais profunda: quem tem responsabilidade pela segurança do ponto final num mundo de autocustódia?

Os fornecedores de carteiras constroem ferramentas anti-phishing, os investigadores publicam relatórios de ameaças e os reguladores alertam os consumidores. No entanto, o atacante precisou apenas de um e-mail falso, um logótipo clonado e um contrato drainer para comprometer centenas de carteiras.

A infraestrutura que permite autocustódia, transações sem permissão, endereços pseudónimos e transferências irreversíveis também a torna implacável.

A indústria trata isto como um problema de educação: se os utilizadores verificassem endereços de remetentes, passassem o rato sobre links e revogassem aprovações antigas, os ataques falhariam.

No entanto, os dados da Chainalysis sobre 158.000 comprometimentos sugerem que a educação por si só não escala. Os atacantes adaptam-se mais rápido do que os utilizadores aprendem. O e-mail de phishing do MetaMask evoluiu de modelos rudimentares "A sua carteira está bloqueada!" para campanhas sazonais polidas.

A exploração da extensão Trust Wallet provou que mesmo utilizadores cuidadosos podem perder fundos se os canais de distribuição forem comprometidos.

O que funciona: carteiras de hardware para participações significativas, revogação implacável de aprovações, segregação de carteiras por perfil de risco e ceticismo em relação a qualquer mensagem não solicitada de fornecedores de carteiras.

O que não funciona: assumir que as interfaces de carteira são seguras por padrão, tratar aprovações como decisões únicas, ou consolidar todos os ativos numa única hot wallet por conveniência. O drainer ZachXBT será encerrado porque o endereço está sinalizado, e as exchanges congelarão depósitos.

Mas outro drainer será lançado na próxima semana com um modelo ligeiramente diferente e um novo endereço de contrato.

O ciclo continua até que os utilizadores internalizem que a conveniência das criptomoedas cria uma superfície de ataque que eventualmente é explorada. A escolha não é entre segurança e usabilidade, mas sim entre atrito agora e perda depois.

A publicação Centenas de carteiras MetaMask drenadas: O que verificar antes de 'atualizar' apareceu primeiro no CryptoSlate.