MetaMask cảnh báo người dùng đang bị nhắm tới bởi chiến dịch lừa đảo qua email giả mạo “xác minh 2FA”, với mục tiêu cuối cùng là đánh cắp cụm từ khôi phục (mnemonic/secret recovery phrase) để chiếm quyền ví.
Email giả yêu cầu cập nhật thông tin 2FA trước ngày 04/01/2026, nếu không sẽ bị hạn chế tính năng ví. Các chuyên gia bảo mật khuyến nghị kiểm tra kỹ người gửi, không bấm liên kết lạ và tuyệt đối không nhập seed phrase ở bất kỳ trang “xác minh” nào.
- Chiến dịch phishing mạo danh MetaMask dẫn dụ “kích hoạt/xác minh 2FA” để đánh cắp mnemonic phrase.
- Dấu hiệu phổ biến gồm email tạo cảm giác khẩn cấp, liên kết tới trang bảo mật giả và bộ đếm ngược.
- MetaMask khẳng định không bao giờ yêu cầu secret recovery phrase và thường không chủ động gửi email xác nhận ngẫu nhiên.
MetaMask ghi nhận người dùng bị lừa đảo qua email “xác minh 2FA”
MetaMask cho biết một số người dùng đã trở thành nạn nhân của trò lừa đảo giả mạo quy trình xác minh 2FA, trong đó email giả yêu cầu cập nhật thông tin trước 04/01/2026 để tránh bị hạn chế tính năng.
Theo mô tả, kẻ gian mạo danh thông báo bảo mật của MetaMask và thúc ép người nhận thực hiện “cập nhật xác minh 2FA”. Nội dung thường dùng ngôn ngữ đe dọa hạn chế truy cập nhằm khiến người dùng hành động vội vàng.
Chuyên gia 23pds (đối tác và CISO tại công ty an ninh blockchain SlowMist) là một trong những người đầu tiên phát cảnh báo sớm ngày 05/01 (giờ Việt Nam), nhấn mạnh người dùng cần thận trọng khi xử lý email tự xưng từ MetaMask.
Kịch bản lừa đảo nhắm vào cụm từ khôi phục (mnemonic phrase)
Trang “bảo mật MetaMask” giả sẽ hướng người dùng đi qua các bước giống 2FA, nhưng mục tiêu là dụ nhập mnemonic phrase để kẻ gian chiếm toàn quyền ví.
Quy trình thường bắt đầu bằng một liên kết trong email dẫn đến trang “cảnh báo bảo mật” được dựng giống giao diện thật. Tiếp theo là màn hình “xác minh 2FA” và các lời nhắc có tính khẩn cấp như bộ đếm ngược.
Ở bước cuối, nạn nhân bị yêu cầu nhập cụm từ khôi phục/seed phrase. Đây là điểm mấu chốt: ai có mnemonic phrase có thể khôi phục ví trên thiết bị khác và chuyển tài sản đi, kể cả khi bạn đã bật 2FA cho các dịch vụ liên quan.
Cách tránh bẫy “kích hoạt 2FA” giả mạo MetaMask
Cách hiệu quả nhất là không bấm liên kết trong email và không nhập seed phrase ở bất kỳ trang nào; hãy chỉ thao tác bảo mật trực tiếp trong ứng dụng/tiện ích MetaMask hoặc kênh chính thức.
Nhà nghiên cứu mã độc và chuyên gia an ninh internet Tomas Meskauskas đã đăng bài hướng dẫn nhận diện trò lừa đảo “MetaMask 2FA activation email”, nhấn mạnh việc luôn kiểm tra và xác minh địa chỉ email người gửi, không mặc định tin các email trông “có vẻ hợp pháp”. Tham khảo: hướng dẫn nhận diện email lừa đảo “kích hoạt 2FA” MetaMask.
Một trường hợp tương tự từng được nhà cung cấp an ninh mạng MailGuard (Úc) phát hiện và chặn: email nói có “hoạt động bất thường” và yêu cầu bật 2FA ngay để tránh tài khoản bị vô hiệu hóa tạm thời. Thông điệp chung là tạo áp lực thời gian để người dùng làm theo hướng dẫn trong email.
MailGuard cảnh báo chỉ một email được viết khéo léo cũng đủ để đánh cắp dữ liệu nhạy cảm hoặc phát tán tệp/liên kết chứa mã độc. Khuyến nghị thực hành là xóa ngay các email dạng này để giảm rủi ro mất tài sản tiền điện tử.
Các vụ việc trước đây cho thấy phishing có thể gây thiệt hại lớn
MetaMask từng đối mặt nhiều đợt tấn công tương tự, đặc biệt sau sự cố lỗ hổng lưu trữ đám mây của Apple năm 2022, khi xuất hiện báo cáo mất tiền trên mạng xã hội.
Trong một trường hợp được công bố, tài sản bị đánh cắp gồm NFT trị giá 132,86 ETH (khoảng 402.980 USD) và hơn 250.000 USD giá trị APE (Apecoin), tổng thiệt hại vượt 650.000 USD. Tham khảo bài đăng liên quan: bài đăng trên X về báo cáo tài sản bị đánh cắp.
Biện pháp chống phishing chủ động giúp giảm thiệt hại
Do không thể chặn 100% email lừa đảo, các công ty crypto cần quy trình quản lý phishing và kích hoạt ứng phó sự cố ngay khi phát hiện người dùng bị nhắm tới.
Nhóm an ninh mạng của Halborn từng khuyến nghị MetaMask và các doanh nghiệp liên quan tiền điện tử thiết lập sẵn quy trình xử lý phishing, vì “không ai có thể phát hiện mọi email lừa đảo”. Trọng tâm là cơ chế tiếp nhận báo cáo, xác minh nhanh, cảnh báo người dùng và phối hợp gỡ hạ tầng giả mạo.
Halborn cũng nhấn mạnh phản ứng sự cố cần diễn ra ngay sau khi xác định có phishing nhằm giảm thiệt hại. Việc có đội ứng cứu chuyên nghiệp trực chiến có thể tạo khác biệt giữa một sự cố lớn và một sự cố được khống chế sớm.
Với người dùng, Halborn khuyến nghị hình thành thói quen chỉ kích hoạt 2FA/MFA qua nền tảng chính thức và luôn cập nhật. Các hệ thống bảo mật email cũng giúp phát hiện/chặn một phần phishing, còn đa yếu tố xác thực giúp giảm tác động nếu thông tin đăng nhập bị lộ.
MetaMask khẳng định không yêu cầu seed phrase và hạn chế chủ động gửi email
MetaMask cho biết họ không yêu cầu secret recovery phrase trong bất kỳ trường hợp nào và thường không chủ động bắt đầu trao đổi email nếu người dùng không tạo yêu cầu hỗ trợ.
Đội ngũ hỗ trợ MetaMask cũng nêu rõ công ty sẽ không gửi các email xác nhận ngẫu nhiên, kể cả khi ví được kết nối với tài khoản Google hoặc Apple. Đồng thời, MetaMask không bao giờ yêu cầu thông tin đăng nhập Apple/Google của người dùng.
Điểm kiểm tra quan trọng: nếu bất kỳ email/trang web nào yêu cầu bạn nhập seed phrase để “xác minh”, “mở khóa”, “khôi phục”, hoặc “bật 2FA”, hãy coi đó là lừa đảo và dừng thao tác ngay.
Những câu hỏi thường gặp
Email yêu cầu “cập nhật/xác minh 2FA MetaMask” có đáng tin không?
Thường không. Các chiến dịch phishing hay dùng email giả mạo để dẫn tới trang “bảo mật” giả và cuối cùng yêu cầu bạn nhập cụm từ khôi phục. Hãy kiểm tra kỹ người gửi, không bấm liên kết lạ và ưu tiên thao tác trực tiếp trong ứng dụng/tiện ích MetaMask.
MetaMask có bao giờ yêu cầu secret recovery phrase (seed phrase) không?
Không. MetaMask khẳng định không yêu cầu secret recovery phrase trong bất kỳ hoàn cảnh nào. Bất cứ nơi nào yêu cầu seed phrase để “xác minh” đều nên được xem là lừa đảo.
Nếu đã bấm link trong email lạ thì nên làm gì?
Hãy dừng thao tác ngay và tuyệt đối không nhập seed phrase. Nếu bạn đã nhập seed phrase, cần coi ví đã bị lộ và nhanh chóng chuyển tài sản sang một ví mới với seed phrase mới, đồng thời rà soát thiết bị và bảo mật email liên quan.