سرقت بیش از ۱۰۷ هزار دلار از کیفپولهای متامسک با فیشینگ
محقق امنیتی زکایکسبیتی (ZachXBT) از سرقت بیش از ۱۰۷ هزار دلار از صدها کیفپول متامسک در چندین پلتفرمی ایویام (EVM) خبر داد. مهاجمان با ارسال ایمیل فیشینگ با موضوع «ارتقای اجباری» و استفاده از لوگوی متامسک، کاربران را فریب دادند.
این حمله در شرایطی رخ داد که تیمهای پشتیبانی در تعطیلات سال نو بودند و کاربران با انبوهی از ایمیلهای تبلیغاتی مواجه شدند. مهاجمان با دریافت مجوزهای قراردادی، مقادیر کم (معمولاً زیر ۲ هزار دلار) از هر کیفپول را سرقت کردند تا توجه کمتری جلب شود.
نحوه کارایی ایمیل فیشینگ
ایمیل ارسالی با عنوان «MetaLiveChain» و لوگوی روباه متامسک همراه با کلاه جشن، کاربران را به کلیک روی لینک جعلی «ارتقای اجباری» ترغیب میکرد. متامسک تأکید کرده که هرگز از طریق ایمیلهای سومشخص درخواست ارتقا یا اطلاعات بازیابی نمیدهد.
راهکارهای امنیتی
کاربران قربانی میتوانند با ابزارهایی مانند Revoke.cash یا Etherscan مجوزهای قراردادی را لغو کنند. در صورت افشای عبارت بازیابی، باید کیفپول جدیدی ایجاد شود. متامسک همچنین هشدارهای امنیتی بلوکاید (Blockaid) را برای شناسایی قراردادهای مشکوک فعال کرده است.
