SlowMist avisa sobre esquema sofisticado de 2FA (Autenticação de Dois Fatores) direcionado a carteiras MetaMask

O Diretor de Segurança da SlowMist "23pds" emitiu um alerta urgente sobre um novo golpe de phishing que tem como alvo utilizadores do MetaMask através de páginas falsas de verificação de autenticação de dois fatores concebidas para roubar frases de recuperação de carteira.

O ataque sofisticado imita a interface de segurança do MetaMask utilizando nomes de domínio falsificados que se assemelham muito à plataforma legítima, enganando os utilizadores levando-os a acreditar que estão a concluir procedimentos de segurança padrão enquanto entregam credenciais críticas da carteira.

O golpe opera através de múltiplas etapas enganosas que exploram a confiança do utilizador nos protocolos de segurança.

Os atacantes criam domínios fraudulentos como "mertamask" em vez de "metamask" e redirecionam as vítimas para páginas de alerta de segurança convincentes que parecem autênticas.

Os utilizadores encontram então o que parece ser um ecrã de verificação 2FA (Autenticação de Dois Fatores) padrão, completo com temporizadores de contagem decrescente e lembretes de segurança realistas, o que cria uma falsa confiança antes de a etapa final solicitar a sua frase-semente sob o pretexto de conclusão de autenticação.

Novo Vetor de Ataque Surge à Medida que as Táticas de Phishing Evoluem

Embora as perdas gerais por phishing tenham diminuído acentuadamente em 2025, com ataques de drenagem de carteiras a cair 83% para 83,85 milhões de dólares face a cerca de 494 milhões de dólares no ano anterior, os atacantes continuam a adaptar os seus métodos.

Segundo um relatório da Cryptonews, o número de utilizadores afetados caiu para aproximadamente 106.000, uma diminuição de 68% em relação ao ano anterior.

No entanto, operações sofisticadas como o golpe de 2FA do MetaMask mostram que os agentes de ameaça continuam a refinar táticas de engenharia social mesmo com o declínio das perdas agregadas.

A atividade de phishing acompanhou de perto os ciclos de mercado mais amplos ao longo de 2025, com o terceiro trimestre a registar as perdas mais elevadas, de 31 milhões de dólares, durante o maior rali do Ethereum.

Agosto e setembro sozinhos representaram quase 29% das perdas anuais totais, reforçando o que os especialistas em segurança veem como o phishing a operar como uma "função de probabilidade da atividade do utilizador", onde volumes de transação mais elevados aumentam o conjunto de potenciais vítimas.

O maior incidente único do ano envolveu um roubo de 6,5 milhões de dólares em setembro associado a uma assinatura Permit maliciosa.

As aprovações Permit e Permit2 permaneceram os vetores de ataque mais eficazes, representando 38% das perdas em casos superiores a 1 milhão de dólares, enquanto novos vetores de ataque surgiram após a atualização Pectra do Ethereum.

Os atacantes começaram a abusar de assinaturas maliciosas baseadas em EIP-7702, que permitem que múltiplas ações prejudiciais sejam agrupadas numa única aprovação do utilizador, levando a dois desses incidentes em agosto que resultaram em 2,54 milhões de dólares em perdas.

Apesar do declínio geral, os atacantes mudaram estratégias de grandes roubos para campanhas massivas de retalho, com apenas 11 casos a excederem 1 milhão de dólares em 2025 comparado com 30 no ano anterior.

A perda média por vítima caiu para 790 dólares, apontando para um foco mais amplo em utilizadores de retalho em vez de roubos isolados de alto perfil.

Ataques coordenados recentes drenaram centenas de carteiras em redes compatíveis com EVM, com perdas individuais tipicamente inferiores a 2.000 dólares por endereço.

Indústria Mobiliza Redes de Defesa Contra Ameaças Persistentes

Os principais fornecedores de carteiras, incluindo MetaMask, Phantom, WalletConnect e Backpack, lançaram uma rede global de defesa contra phishing através de parceria com a Security Alliance (SEAL), criando o que descrevem como um "sistema imunitário descentralizado" para identificação de ameaças em tempo real.

O sistema permite que qualquer pessoa em todo o mundo submeta relatórios verificáveis de phishing, que são automaticamente validados e transmitidos a todas as carteiras participantes, permitindo tempos de resposta mais rápidos e potencialmente salvando mais fundos.

"Os drainers são um jogo constante de gato e rato", disse o investigador de segurança do MetaMask Ohm Shah. "A parceria com a SEAL permite que os programadores de carteiras se movam mais rapidamente e atrapalhem a infraestrutura do drainer."

O esforço de defesa baseia-se na ferramenta de relatórios verificáveis de phishing da SEAL, que permite aos investigadores de segurança provar que os sites relatados realmente alojam conteúdo de phishing.

Para além das explorações técnicas, a tecnologia deepfake emergiu como outro vetor de ameaça, com o cofundador da Manta Network Kenny Li a revelar em abril que foi alvo numa chamada sofisticada do Zoom usando vídeos pré-gravados de indivíduos familiares.

Os atacantes tentaram enganá-lo para descarregar ficheiros de script maliciosos disfarçados de atualizações do Zoom, com Li a suspeitar do envolvimento do Lazarus Group ligado à Coreia do Norte.

Entretanto, as perdas relacionadas com criptomoedas resultantes de hacks e explorações de cibersegurança caíram 60% em dezembro para aproximadamente 76 milhões de dólares, face aos 194,2 milhões de dólares de novembro.

No entanto, os especialistas em segurança alertam que ameaças persistentes como golpes de envenenamento de endereço e explorações de carteiras de navegador continuam a ter como alvo utilizadores em todo o ecossistema.