Perusahaan keamanan blockchain SlowMist mengeluarkan peringatan serius terkait modus phishing baru yang menargetkan pengguna MetaMask.
Dalam skema ini, pelaku memanfaatkan halaman verifikasi two factor authentication (2FA) palsu untuk mencuri recovery phrase atau seed phrase wallet korban.
Peringatan ini disampaikan langsung oleh Chief Security Officer SlowMist yang dikenal dengan nama samaran “23pds”.
Ia menegaskan bahwa serangan tersebut dirancang sangat rapi dan mampu mengecoh pengguna dengan meniru tampilan keamanan MetaMask secara detail.
?MetaMask ???? ‘2FA ????’ ?? @MetaMask @tayvano_
???? pic.twitter.com/RJM78If9zb— 23pds (??) (@im23pds) January 5, 2026
Menyamar sebagai Proses Keamanan Resmi
Berbeda dari phishing konvensional, serangan ini tidak langsung meminta data sensitif. Pelaku terlebih dulu mengarahkan korban ke domain palsu yang secara visual hampir identik dengan situs resmi MetaMask.
Beberapa di antaranya hanya berbeda satu huruf atau menggunakan karakter mirip, sehingga sulit dikenali sekilas.
Setelah masuk ke situs tiruan tersebut, pengguna akan melihat peringatan keamanan palsu yang mengklaim adanya aktivitas mencurigakan pada akun mereka.
Dari sini, korban diarahkan ke halaman yang tampak seperti verifikasi 2FA resmi, lengkap dengan pengatur waktu, pesan keamanan, dan desain antarmuka yang meyakinkan.
Di tahap akhir, pengguna diminta memasukkan seed phrase dengan dalih menyelesaikan proses verifikasi. Begitu data ini dikirim, pelaku dapat langsung menguasai wallet dan memindahkan aset tanpa hambatan.
Baca berita selanjutnya: Kerugian Akibat Hack Kripto Global Menyusut 60%, Tapi Modus Ini Masih Marak
Statistik Phishing Turun, Tapi Ancaman Belum Hilang
Melansir dari Cryptonews, sepanjang 2025, kerugian akibat phishing kripto memang menurun tajam.
Total dana yang hilang turun sekitar 83% menjadi US$83,85 juta, dari hampir US$494 juta pada tahun sebelumnya. Jumlah korban juga menurun menjadi sekitar 106 ribu pengguna, turun 68% secara tahunan.
Namun, SlowMist menilai penurunan angka ini tidak berarti risiko ikut menghilang. Justru sebaliknya, pelaku kini mengalihkan fokus ke serangan yang lebih terarah dan bersifat sosial engineering, dengan menyasar pengguna ritel dalam jumlah besar.
Rata-rata kerugian per korban pada 2025 berada di kisaran US$790, menandakan pergeseran strategi dari pencurian besar ke kampanye massal dengan nilai lebih kecil per wallet.
Pola Serangan Mengikuti Aktivitas Pasar
Data menunjukkan aktivitas phishing berkorelasi erat dengan kondisi pasar kripto. Kuartal ketiga 2025 mencatat kerugian tertinggi, mencapai US$31 juta, bertepatan dengan reli kuat Ethereum. Bulan Agustus dan September menyumbang hampir 29% dari total kerugian tahunan.
SlowMist menyebut fenomena ini sebagai “probability function of user activity”. Artinya, semakin tinggi aktivitas transaksi dan interaksi pengguna, semakin besar pula peluang pelaku menemukan korban.
Selain phishing berbasis 2FA palsu, laporan juga menyoroti penggunaan Permit dan Permit2 sebagai vektor serangan utama dalam kasus pencurian bernilai besar.
Bahkan, setelah upgrade Ethereum Pectra, muncul penyalahgunaan tanda tangan berbasis EIP 7702 yang memungkinkan beberapa aksi berbahaya digabung dalam satu persetujuan pengguna.
Baca berikutnya: Awas! Link WhatsApp Palsu Jadi Senjata Pembobol Wallet Kripto
Upaya Industri Menahan Laju Serangan
Menghadapi ancaman yang terus berevolusi, sejumlah penyedia wallet kripto seperti MetaMask, Phantom, WalletConnect, dan Backpack membentuk jaringan pertahanan global bersama Security Alliance (SEAL).
Inisiatif ini bertujuan mempercepat identifikasi dan penyebaran informasi terkait situs phishing secara real time.
Melalui sistem ini, laporan phishing yang telah diverifikasi dapat langsung dibagikan ke berbagai wallet, sehingga peringatan dan pemblokiran bisa dilakukan lebih cepat sebelum korban bertambah.
Meski demikian, para peneliti keamanan menegaskan bahwa tidak ada solusi teknis yang sepenuhnya menggantikan kewaspadaan pengguna, terutama terhadap permintaan seed phrase dalam bentuk apa pun.
Kesimpulan
Kasus phishing 2FA palsu yang menargetkan MetaMask menjadi pengingat bahwa penurunan statistik tidak selalu mencerminkan menurunnya risiko.
Modus penipuan justru semakin halus, memanfaatkan kepercayaan pengguna terhadap sistem keamanan itu sendiri.
Di tengah ekosistem kripto yang terus berkembang, perlu diingat bahwa seed phrase tidak pernah dibutuhkan untuk proses verifikasi atau keamanan apa pun. Begitu data tersebut bocor, kendali atas aset digital bisa hilang dalam hitungan detik.
FAQ
- Apa itu phishing 2FA palsu pada MetaMask?
Phishing 2FA palsu adalah modus penipuan yang meniru halaman verifikasi keamanan MetaMask untuk mengelabui pengguna agar memasukkan seed phrase mereka. - Apakah MetaMask benar-benar menggunakan 2FA berbasis seed phrase?
Tidak. MetaMask tidak pernah meminta seed phrase, baik melalui 2FA, email, maupun halaman verifikasi apa pun. - Bagaimana cara mengenali situs MetaMask palsu?
Biasanya menggunakan domain yang mirip dengan MetaMask resmi, berbeda satu huruf, atau memakai karakter yang terlihat sama secara visual. - Kenapa phishing masih marak meski kerugian global menurun?
Pelaku beralih dari pencurian besar ke kampanye massal yang menyasar pengguna ritel, dengan nilai kerugian lebih kecil per korban namun jumlah target lebih banyak. - Apa langkah paling aman untuk melindungi wallet dari phishing?
Jangan pernah membagikan seed phrase, selalu cek domain situs dengan teliti, dan hindari mengklik tautan keamanan dari sumber yang tidak jelas.
Itulah informasi berita crypto hari ini. Aktifkan notifikasi agar Anda selalu mendapatkan informasi terkini dan edukasi dari Akademi Crypto seputar aset digital dan teknologi blockchain hanya di INDODAX Academy.
Jangan sampai ketinggalan berita terbaru terkait dunia kripto, pergerakan pasar, dan masih banyak lagi di laman artikel edukasi crypto terpopuler.
Anda juga dapat mengikuti berita terbaru kami melalui Google News untuk akses informasi yang lebih cepat dan terpercaya.
Untuk pengalaman trading yang mudah dan aman, download aplikasi crypto terbaik dari INDODAX di App Store atau Google Play Store.
Kontak Resmi Indodax
Nomor Layanan Pelanggan: (021) 5065 8888 | Email Bantuan: [email protected]
Ikuti juga sosial media INDODAX di sini: Instagram, X, Youtube & Telegram
Author: Fau
Tag Terkait: #Berita Kripto Hari Ini, #Berita Mata uang Kripto, #Berita Scam Crypto
Polkadot 2.25%
BNB 0.52%
Solana 4.62%
Ethereum 2.32%
Cardano 1.02%
Polygon Ecosystem Token 1.87%
Tron 2.75%
Pasar
