数百のメタマスクウォレットが流出：「更新」前に確認すべきこと

オンチェーンセキュリティー研究者のZachXBTは、複数のEVMチェーンにわたって数百のウォレットが少額ずつ流出しており、通常は被害者1人あたり2,000ドル未満で、単一の不審なアドレスに集められていることを報告しました。

盗難総額は107,000ドルを超え、さらに増加し続けています。根本原因はまだ不明ですが、ユーザーは強制アップグレードを装ったフィッシングメールを受け取ったと報告しており、パーティーハットをかぶったキツネのロゴと「Happy New Year!」という件名が含まれていました。

この攻撃は、開発者が休暇中で、サポートチャネルが最小限の人員で運営されており、ユーザーが新年のプロモーションで溢れた受信トレイをスクロールしているときに発生しました。

攻撃者はその隙を突きます。被害者1人あたりの金額が少額であることは、多くの場合、ドレイナーがシードフレーズの完全な侵害ではなく、契約承認によって動作していることを示唆しており、これにより個々の損失は被害者がすぐに警告を発する閾値以下に抑えられますが、攻撃者は数百のウォレットに規模を拡大できます。

業界は、Trust Walletブラウザ拡張機能の別のインシデントをまだ処理中です。Chrome拡張機能v2.68の悪意のあるコードが秘密鍵を収集し、Trust Walletがv2.69にパッチを適用する前に、2,520のウォレットから少なくとも850万ドルを流出させました。

2つの異なる攻撃、同じ教訓:ユーザーエンドポイントは依然として最も弱いリンクです。

効果的なフィッシングメールの解剖

メタマスクをテーマにしたフィッシングメールは、これらの攻撃がなぜ成功するかを示しています。

送信者IDには「MetaLiveChain」と表示されており、これはDeFiに関連しているように聞こえますが、メタマスクとは関係ありません。

メールヘッダーには「reviews@yotpo.com」の配信停止リンクが含まれており、攻撃者が正規のマーケティングキャンペーンからテンプレートを盗用したことが明らかになっています。本文には、パーティーハットをかぶったメタマスクのキツネのロゴが表示され、季節の祝福と「強制アップグレード」に関する作られた緊急性が融合しています。

この組み合わせは、ほとんどのユーザーが明白な詐欺に適用するヒューリスティックをバイパスします。

フィッシングメールは、パーティーハットをかぶったキツネのロゴでメタマスクになりすまし、アカウントアクセスには「強制的な」2026年システムアップグレードが必要だと虚偽の主張をしています。

メタマスクの公式セキュリティードキュメントは明確なルールを確立しています。サポートメールは、support@metamask.ioなどの認証済みアドレスからのみ送信され、サードパーティのドメインからは送信されません。

ウォレットプロバイダーは、検証やアップグレードを要求する一方的なメールを送信しません。

さらに、担当者がシークレットリカバリーフレーズを尋ねることは決してありません。しかし、これらのメールが機能するのは、ユーザーが知的に知っていることと、公式に見えるメッセージが届いたときに反射的に行うこととのギャップを悪用するためです。

4つのシグナルが被害が発生する前にフィッシングを露呈します。

第一に、ブランドと送信者の不一致。「MetaLiveChain」からのメタマスクブランディングはテンプレート盗用を示します。第二に、メタマスクが明示的に送信しないと述べている強制アップグレードに関する作られた緊急性。

第三に、主張されているドメインと一致しない宛先URL。クリック前にホバーすると実際のターゲットが明らかになります。第四に、シードフレーズを尋ねたり、不透明なオフチェーンメッセージへの署名を促したりするなど、ウォレットの基本ルールに違反するリクエスト。

ZachXBTのケースは、署名フィッシングのメカニズムを示しています。偽のアップグレードリンクをクリックした被害者は、トークンを移動する権限をドレイナーに付与する契約承認に署名した可能性があります。

その単一の署名が、複数のチェーンにわたる継続的な盗難への扉を開きました。攻撃者がウォレットあたりの金額を少額に選んだのは、契約承認がデフォルトで無制限の支出上限を持つことが多いためですが、すべてを流出させると即座に調査がトリガーされます。

1人あたり2,000ドルで数百人の被害者に盗難を分散させることで、個人のレーダーの下を飛びながら6桁の合計を蓄積します。

承認の取り消しと影響範囲の縮小

フィッシングリンクがクリックされたり、悪意のある承認が署名されたりすると、優先順位は封じ込めに移ります。メタマスクは現在、ユーザーがメタマスクポートフォリオ内でトークン許可を直接表示および取り消すことができます。

Revoke.cashは、ユーザーにシンプルなプロセスを案内します:ウォレットを接続し、ネットワークごとに承認を検査し、信頼できない契約の取り消しトランザクションを送信します。

EtherscanのToken Approvalsページは、ERC-20、ERC-721、ERC-1155承認の手動取り消しに同じ機能を提供します。これらのツールが重要なのは、迅速に行動する被害者がすべてを失う前にドレイナーのアクセスを遮断できるためです。

承認の侵害とシードフレーズの侵害の区別は、ウォレットを回収できるかどうかを決定します。メタマスクのセキュリティーガイドは明確な線を引いています:シークレットリカバリーフレーズが漏洩した疑いがある場合は、直ちにそのウォレットの使用を停止してください。

新しいデバイスで新しいウォレットを作成し、残りの資産を転送し、元のシードを永久に焼却されたものとして扱います。承認の取り消しは、攻撃者が契約権限のみを保持している場合に役立ちます。シードがなくなっている場合は、ウォレット全体を放棄する必要があります。

Chainalysisは、2025年に少なくとも80,000人に影響を与える約158,000件の個人ウォレット侵害を記録しましたが、盗難総額は約7億1,300万ドルに減少しました。

Chainalysisのデータによると、暗号資産盗難全体に占める個人ウォレットの損失の割合は、2022年の約10%から2025年には25%近くに上昇しました。

攻撃者は、ZachXBTが特定したパターンである、より多くのウォレットをより少額で攻撃します。実際的な意味:影響範囲を制限するようにウォレットを整理することは、フィッシングを回避することと同じくらい重要です。

単一の侵害されたウォレットがポートフォリオ全体の損失を意味すべきではありません。

多層防御の構築

ウォレットプロバイダーは、採用されていればこの攻撃を封じ込めたであろう機能を提供しています。

メタマスクは現在、デフォルトの「無制限」権限を受け入れるのではなく、トークン承認に支出上限を設定することを推奨しています。Revoke.cashとDe.FiのShieldダッシュボードは、長期保有のためのハードウェアウォレットの使用とともに、承認レビューを日常的な衛生として扱うことを提唱しています。

メタマスクは、Blockaidからのトランザクションセキュリティーアラートをデフォルトで有効にし、署名が実行される前に疑わしい契約にフラグを立てます。

Trust Wallet拡張機能インシデントは、多層防御の必要性を強調しています。その攻撃はユーザーの決定をバイパスし、公式Chromeリスト内の悪意のあるコードが自動的に鍵を収集しました。

ハードウェアウォレット(コールドストレージ)、ソフトウェアウォレット(ウォームトランザクション)、バーナーウォレット(実験的プロトコル)に保有資産を分離したユーザーは、露出を制限しました。

その3層モデルは摩擦を生み出しますが、摩擦が重要です。バーナーウォレットを捕捉するフィッシングメールは数百ドルまたは数千ドルのコストがかかります。ポートフォリオ全体を保持する単一のウォレットに対する同じ攻撃は、人生を変えるお金を犠牲にします。

ZachXBTドレイナーが成功したのは、利便性とセキュリティーの間の継ぎ目をターゲットにしたためです。ほとんどのユーザーは、複数のウォレットを管理するのが面倒に感じるため、すべてを1つのメタマスクインスタンスに保管しています。

攻撃者は、元日のプロフェッショナルに見えるメールが十分な数の人々を油断させて利益の出るボリュームを生み出すと賭けました。その賭けは成功し、107,000ドル以上を獲得しました。

メタマスクの公式ガイダンスは、3つのフィッシングの警告サインを特定しています:誤った送信者アドレス、一方的な緊急アップグレード要求、シークレットリカバリーフレーズまたはパスワードのリクエスト。

何が危機に瀕しているか

このインシデントは、より深い疑問を提起します:自己管理の世界において、エンドポイントセキュリティーの責任は誰が負うのか?

ウォレットプロバイダーはフィッシング対策ツールを構築し、研究者は脅威レポートを公開し、規制当局は消費者に警告します。しかし、攻撃者は偽のメール、クローンされたロゴ、ドレイナー契約だけで数百のウォレットを侵害する必要がありました。

自己管理、許可不要のトランザクション、仮名アドレス、取り消し不可能な転送を可能にするインフラストラクチャは、それを容赦ないものにもします。

業界はこれを教育の問題として扱っています:ユーザーが送信者アドレスを検証し、リンクにホバーし、古い承認を取り消せば、攻撃は失敗します。

しかし、Chainalysisの158,000件の侵害に関するデータは、教育だけでは拡張できないことを示唆しています。攻撃者はユーザーが学ぶよりも速く適応します。メタマスクのフィッシングメールは、粗雑な「ウォレットがロックされています!」テンプレートから洗練された季節キャンペーンに進化しました。

Trust Wallet拡張機能の攻撃は、配信チャネルが侵害された場合、慎重なユーザーでも資金を失う可能性があることを証明しました。

効果的なもの:重要な保有資産のためのハードウェアウォレット、無慈悲な承認取り消し、リスクプロファイル別のウォレット分離、ウォレットプロバイダーからの一方的なメッセージに対する懐疑主義。

効果的でないもの:ウォレットインターフェースがデフォルトで安全であると仮定すること、承認を1回限りの決定として扱うこと、または便宜のためにすべての資産を単一のホットウォレットに統合すること。ZachXBTドレイナーは、アドレスにフラグが立てられ、取引所が入金を凍結するため、シャットダウンされます。

しかし、別のドレイナーが来週、わずかに異なるテンプレートと新しい契約
アドレスで起動します。

サイクルは、ユーザーが暗号資産の利便性が最終的に悪用される攻撃面を作成することを内面化するまで続きます。選択はセキュリティーとユーザビリティの間ではなく、今の摩擦と後の損失の間です。

The post Hundreds of MetaMask wallets drained: What to check before you 'update' appeared first on CryptoSlate.