В конце мая 2026 года была проведена фишинговая кампания, в ходе которой злоумышленники, выдавая себя за MetaMask и анонсируя "обязательное" обновление системы 2026 года, вывели средства с сотен EVM-совместимых кошельков. Ончейн-аналитик ZachXBT 28 мая сообщил о подозрительных транзакциях на Ethereum, Polygon, Arbitrum и Base. Потери на каждом кошельке были относительно небольшими, однако число пострадавших оказалось значительным, а сама атака была проведена очень аккуратно.
Средний убыток на один кошелек составил низкие пятизначные суммы в долларах, а по состоянию на 30 мая совокупный ущерб по данным ZachXBT превысил $9 млн с более чем 400 адресов. Важно не столько абсолютное значение ущерба, сколько методы атаки: пользователь получал письмо или push-уведомление от имени MetaMask с требованием "подтвердить" обновление, иначе его кошелек якобы перестанет работать. Страница для "валидации" предлагала подключить кошелек и подписать одну транзакцию. На деле это была выдача разрешения смарт-контракту-дрейнеру, который мгновенно опустошал баланс.
Как работала фишинговая схема
Атака состояла из пяти простых шагов. Жертва получала e-mail или push-уведомление, стилизованное под MetaMask, с предупреждением о необходимости обновления для сохранения доступа к средствам. В сообщении содержалась ссылка на сайт, визуально неотличимый от metamask.io, но с похожим доменом (например, metamasks-update.com, metamask-validator.io, secure-metamask.app и др.).
Лендинг-страница полностью имитировала официальный сайт MetaMask. Пользователю предлагалось "верифицировать" кошелек, нажав на кнопку, открывающую модальное окно WalletConnect. Жертва, не читая деталей, подписывала транзакцию — по сути, это были разрешения setApprovalForAll для токенов ERC-20, либо разрешения на перевод NFT, либо permit на полный доступ к средствам.
После подписи смарт-контракт-дрейнер за секунды переводил все токены на адрес злоумышленников. Затем средства быстро перемещались между сетями, микшировались через аналоги Tornado Cash и поступали на конечные адреса, которые, по данным на момент публикации, ещё активны.
Почему эта атака была успешной
В отличие от типичных попыток фишинга, эта кампания отличалась:
- Высоким качеством подделки. Если раньше фишинговые письма MetaMask выдавали себя за счет ошибок, некорректной вёрстки и подозрительных доменов, то в этот раз использовались точные визуальные копии, грамотный текст и заранее зарегистрированные домены с SSL-сертификатами.
- Убедительной срочностью. Сообщение про "обязательное обновление 2026 года" выглядит привычно, такие формулировки регулярно используют легальные сервисы. В уведомлении не угрожалось блокировкой, не обещались токены и не запрашивалась seed-фраза — лишь валидация обновления.
- Мультицепочечным охватом. Дрейнеры были развернуты сразу в Ethereum, Polygon, Arbitrum и Base, а адрес для получения средств подбирался в зависимости от используемой сети. Обычно такие атаки затрагивали только Ethereum.
Как ZachXBT нашёл связку атак
Ончейн-расследование велось стандартно: ZachXBT выявил первый смарт-контракт-дрейнер в Ethereum и через его транзакции вычислил кошелек-спонсор. Этот кошелек получил небольшие суммы для "газа" с одного горячего кошелька, который также финансировал дрейнеры в Polygon, Arbitrum и Base. Горячий кошелек пополнили с биржи за три недели до старта атаки.
На этом след обычно обрывается — биржа работает без KYC и не отвечает на запросы силовых органов. По мнению ZachXBT, фишинговую инфраструктуру арендовала команда, предоставляющая услуги дрейнинга аффилированным лицам за 20–30% от украденных средств.
Почему аппаратные кошельки помогли бы избежать потерь
Главная общая черта пострадавших адресов — почти все это были hot-кошельки: расширения браузера MetaMask, мобильные приложения и ПО-решения. Аппаратный кошелек (Ledger или Trezor), даже будучи подключённым к MetaMask, требует ручного подтверждения транзакции на экране устройства. Если владелец внимательно читает, что подписывает, он увидит незнакомый контракт и сможет отказаться от операции.
Это главный аргумент в пользу аппаратного хранения. Даже если запрос подписи поступил, пользователь должен подтвердить его на независимом дисплее. В отличие от кликов по всплывающим окнам браузера, процедура через "холодный" кошелек требует осознанности.
Софтверная защита тоже существует: последние версии MetaMask и других крупных кошельков показывают предпросмотр транзакции с расшифровкой запроса и предупреждают об неограниченных разрешениях. Но пользователи старых версий или те, кто игнорирует предпросмотр, чаще всего и становятся жертвами.
Рекомендации для пользователей EVM-кошельков
Меры защиты просты и давно известны. Любое письмо или уведомление с требованием "обязательной валидации" рассматривайте как фишинговую попытку. Официальные обновления кошельков происходят только внутри самого приложения, а не через внешние ссылки. При сомнениях всегда набирайте официальный адрес вручную.
Отзывайте неиспользуемые разрешения для токенов. Бесплатный сервис Revoke.cash позволяет увидеть все активные разрешения вашего кошелька. Старые разрешения для неиспользуемых протоколов увеличивают риски. Рекомендуется их отозвать и выдать новые только тем протоколам, которыми вы пользуетесь сейчас. Для хранения значимых сумм используйте аппаратный кошелек. Если это невозможно — хотя бы выделите отдельный браузерный профиль без сторонних расширений.
Подписывайте транзакции только после внимательного ознакомления с их содержанием. В разрешениях setApprovalForAll или permit всегда указан адрес контракта и масштаб допуска. Если адрес вам незнаком, а разрешение неограниченно — лучше отклонить транзакцию.
Часто задаваемые вопросы
Как понять, стал ли я жертвой?
Проверьте в истории транзакций своего кошелька все исходящие разрешения или переводы за последние 10 дней. Сервис Etherscan token approvals показывает все активные разрешения для вашего адреса. Любое разрешение на неизвестный контракт — повод насторожиться. Если видите подозрительную транзакцию — средства, скорее всего, уже выведены, но вы все равно можете сообщить о случившемся ZachXBT и правоохранительным органам.
Почему MetaMask не блокирует эти домены полностью?
MetaMask поддерживает блок-лист фишинговых доменов и регулярно обновляет его, но злоумышленники часто меняют адреса быстрее, чем список успевает пополниться. Поэтому это лишь частичная защита.
Безопаснее ли L2-кошельки, чем кошельки в основной сети?
Нет. Дрейнеры в этой кампании работали на всех EVM-сетях. L2 лишь дешевле по комиссии, но уязвимость та же.
Стоит ли перевести средства на централизованную биржу ради большей безопасности?
Это зависит от вашей модели угроз. Надежный централизованный кастодиан с резервами и страховкой снижает риски фишинга, но добавляет платформенные и контрагентские риски. Оптимальный подход — аппаратный кошелек для долгосрочного хранения, небольшой hot-кошелек для DeFi и проверенный кастодиан для трейдинга.
Выводы
За неделю через кампанию было украдено более $9 млн с 400+ кошельков. Инфраструктура атакующей стороны продолжает работать, домены быстро меняются, а уровень подделки настолько высок, что методика будет оставаться эффективной до появления нового "приманочного" сценария. Меры защиты стандартны: аппаратные кошельки, скепсис к любым "обязательным обновлениям", регулярный отзыв разрешений и внимательное чтение предпросмотра транзакций. В ближайшие недели возможно появление фишинга под другими популярными кошельками (Rabby, Phantom, Trust). К любому письму о "апгрейде" относитесь так же внимательно, как к просьбе незнакомца сообщить PIN-код от банка.
Материал представлен исключительно в информационных целях и не является финансовой или инвестиционной рекомендацией. Торговля криптовалютами связана со значительными рисками. Перед принятием торговых решений рекомендуется проводить самостоятельный анализ.
