Sebuah penipuan phishing baru yang menargetkan pengguna MetaMask sedang menyebar, memakai alur “two-factor authentication (2FA)” yang sangat mirip aslinya untuk mencuri frase pemulihan wallet.
Kampanye ini menunjukkan makin tingginya tingkat kecanggihan taktik rekayasa sosial, meskipun kerugian akibat serangan phishing aset kripto yang dilaporkan turun drastis di tahun 2025.
SponsoredAnatomi Skema Phishing MetaMask
CSO perusahaan keamanan blockchain SlowMist menyoroti penipuan ini dalam sebuah posting terbaru di X (dulu Twitter). Operasi phishing ini memakai beberapa lapisan penipuan untuk membobol wallet pengguna.
Korban menerima email yang terlihat berasal dari MetaMask Support, yang menginformasikan soal keharusan penggunaan two-factor authentication. Email tersebut tampil sangat profesional, termasuk logo rubah MetaMask dan skema warna khasnya.
Posting itu mengungkap bahwa pelaku memakai domain yang nyaris sama dengan domain resmi. Dalam kasus yang terdokumentasi, domain palsu tersebut hanya berbeda satu huruf saja, sehingga hampir tidak terlihat bedanya pada pandangan pertama.
Setelah pengguna mengunjungi situs phishing tersebut, mereka diarahkan mengikuti proses keamanan yang nampak resmi. Di tahap akhir, korban diminta mengisi seed phrase mereka dengan dalih untuk menyelesaikan “verifikasi keamanan 2FA.”
SponsoredInilah titik krusial dari penipuan ini. Seed phrase sebuah wallet (disebut juga recovery phrase atau mnemonic phrase) adalah kunci utama wallet. Siapa pun yang menguasainya bisa:
- Mentransfer dana tanpa sepengetahuan atau persetujuan pemilik aslinya
- Membuat ulang wallet di perangkat lain
- Menguasai sepenuhnya seluruh private key yang terkait
- Menandatangani dan mengeksekusi transaksi sendiri-sendiri
Jika seseorang sudah mendapatkan seed phrase, ia dapat mengakses wallet tanpa perlu password, two-factor authentication, atau persetujuan perangkat. Karena itu, penyedia wallet selalu mengingatkan pengguna agar tidak pernah membagikan seed phrase mereka dalam situasi apa pun.
Meskipun two-factor authentication memang dirancang untuk melindungi pengguna, para pelaku menunggangi reputasi fitur ini untuk menipu. Taktik psikologis ini, ditambah trik teknis dan imbauan yang mendesak, masih menjadi ancaman serius hingga kini.
Penipuan ini terjadi di tengah turunnya total kerugian akibat phishing. Data mencatat bahwa kerugian akibat phishing aset kripto anjlok tajam pada 2025, turun sekitar 83% menjadi sekitar US$84 juta, dibanding nyaris US$494 juta pada tahun sebelumnya.
“Kerugian phishing sangat berkaitan erat dengan aktivitas pasar. Q3 mencatat reli ETH terkuat sekaligus kerugian phishing terbesar (US$31 juta). Saat pasar aktif, tingkat aktivitas pengguna juga meningkat, dan sebagian pengguna menjadi korban — phishing bekerja berdasarkan probabilitas aktivitas pengguna,” demikian isi laporan Scam Sniffer.
Seiring aktivitas pasar mulai menunjukkan tanda-tanda pemulihan di awal 2026, termasuk reli meme coin dan isyarat meningkatnya partisipasi ritel, para pelaku kejahatan pun kembali bermunculan. Karena itu, kewaspadaan ekstra terhadap metode phishing dan kehati-hatian saat menangani kredensial wallet sangatlah penting.
