Người dùng MetaMask đối mặt với lừa đảo xác thực hai yếu tố (2FA) mới, SlowMist cảnh báo

• Kẻ tấn công giả mạo cảnh báo MetaMask và trang 2FA giả để đánh cắp cụm seed.
• Tên miền Mertamask sử dụng kỹ thuật typosquatting và chiến thuật cấp bách để lừa người dùng.

Một làn sóng lừa đảo phishing mới đang quay trở lại hướng người dùng MetaMask, lần này với một thiết lập tinh vi và phối hợp hơn. Giám đốc An ninh Thông tin của SlowMist (CISO) đã cảnh báo về một trò lừa đảo mới được xây dựng dưới dạng “xác minh 2FA,” trông có vẻ hợp pháp hơn nhiều so với các cuộc tấn công trước đó. Phương thức này bắt chước luồng bảo mật chính thức và hướng nạn nhân đến các trang web giả mạo, trong đó có “Mertamask.” Đây là nơi nhiều người dùng không chuẩn bị sẵn, vì giao diện và câu chuyện có vẻ xuất phát từ hệ thống của MetaMask.

🚨MetaMask xuất hiện loại lừa đảo ‘Xác minh an toàn 2FA’ mới @MetaMask @tayvano_
Chú ý phòng tránh pic.twitter.com/RJM78If9zb

— 23pds (山哥) (@im23pds) 5 tháng 1, 2026

Chương trình thường bắt đầu bằng một thông báo bảo mật giả mạo gửi qua email, cảnh báo về hoạt động đáng ngờ trong ví của người dùng. Tin nhắn không mất thời gian, thúc giục người nhận “xác minh” ngay lập tức. Tuy nhiên, thay vì truy cập trang chính thức, người dùng bị chuyển hướng đến tên miền Mertamask giả mạo có thiết kế gần giống. Những thay đổi nhỏ trong chữ viết dễ bị bỏ qua, đặc biệt khi một cảnh báo cấp bách đẩy ai đó vào trạng thái hoảng loạn. Khi họ nhấp vào liên kết, nạn nhân sẽ đến trang 2FA giả mạo được trang bị đếm ngược nhằm tăng áp lực.

Hình ảnh từ X

Người dùng MetaMask bị lừa giao nộp cụm khôi phục Trên trang giả mạo, người dùng được yêu cầu làm theo các bước có vẻ hợp lý. Tuy nhiên, ở bước cuối cùng, trang web yêu cầu cung cấp cụm khôi phục hoặc seed phrase. Đây chính là trung tâm của trò lừa đảo. MetaMask không bao giờ yêu cầu seed phrase để xác minh, cập nhật hoặc vì lý do bảo mật nào khác. Khi cụm seed được nhập, quyền kiểm soát ví ngay lập tức được chuyển giao. Không chỉ vậy, quá trình rút tài sản thường diễn ra nhanh chóng và âm thầm, khiến nạn nhân chỉ nhận ra sau khi số dư của họ đã bị giảm đáng kể. Thú vị là, cách tiếp cận này cho thấy sự thay đổi trong trọng tâm của các kẻ lừa đảo. Trong quá khứ, nhiều cuộc tấn công dựa vào các tin nhắn ngẫu nhiên hoặc hình ảnh sơ sài, giờ đây hình ảnh và luồng hoạt động đã trở nên thuyết phục hơn nhiều. Hơn nữa, áp lực tâm lý đã trở thành vũ khí chính. Các câu chuyện đe dọa, giới hạn thời gian và diện mạo chuyên nghiệp kết hợp khiến người dùng MetaMask phản xạ hành động, thay vì suy nghĩ lý trí. Chữ ký hợp đồng độc hại cho phép trộm tài sản âm thầm Chương trình xác minh 2FA giả mạo này xuất hiện trong bối cảnh gia tăng các cuộc tấn công phishing khác cũng nhắm vào hệ sinh thái EVM. Gần đây, hàng trăm ví EVM, chủ yếu là người dùng MetaMask, đã trở thành nạn nhân của các email lừa đảo tuyên bố “cập nhật bắt buộc.” Trong các trường hợp này, nạn nhân không bị yêu cầu cung cấp seed phrase mà thay vào đó bị dụ ký vào một hợp đồng độc hại. Hơn 107.000 đô la đã bị đánh cắp theo từng phần nhỏ từ mỗi ví, một chiến lược khiến việc phát hiện trộm cắp trở nên khó khăn hơn nhiều. Mô hình này khai thác tốc độ ký giao dịch, thay vì trộm seed phrase trực tiếp. Trong khi đó, vào ngày 9 tháng 12, chúng tôi đã đưa tin MetaMask đã mở rộng các trao đổi chéo chuỗi thông qua hạ tầng định tuyến đa chuỗi Rango. Bắt đầu từ EVM và Solana, nay đã mở rộng sang Bitcoin, mang lại khả năng kết nối chéo chuỗi rộng hơn cho người dùng. Vài ngày trước, vào ngày 5 tháng 12, chúng tôi cũng nhấn mạnh việc tích hợp trực tiếp Polymarket vào MetaMask Mobile, cho phép người dùng tham gia các thị trường dự đoán mà không cần rời khỏi ứng dụng và nhận phần thưởng MetaMask. Ngoài ra, vào cuối tháng 11, chúng tôi đã đề cập đến tính năng giao dịch vĩnh viễn cổ phiếu trên chuỗi trong MetaMask Mobile, mở ra khả năng mở vị thế mua và bán trên nhiều loại tài sản toàn cầu với các tùy chọn đòn bẩy.