近日,区块链安全领域拉响新警报。据SlowMist等多家安全机构披露,一种针对MetaMask钱包用户的新型网络钓鱼骗局正在蔓延,攻击者通过伪造双重认证(2FA)安全验证流程,诱骗用户交出钱包恢复短语(助记词)。这一手法极具迷惑性,值得所有加密货币持有者高度警惕。
据SlowMist首席安全官23pds在社交平台披露,攻击者伪装成MetaMask官方,向用户发送虚假的“安全警告”,声称需要启用2FA验证,否则将失去关键钱包功能访问权限。用户点击链接后,会被引导至仿冒的欺诈域名,最终在所谓的“安全设置”最后一步,被要求输入12个单词的助记词。一旦助记词泄露,攻击者即可完全控制该钱包并转移所有资产。
值得注意的是,任何去中心化钱包协议都绝不会主动向用户索要助记词。分析师指出,这是识别此类骗局的核心原则。助记词是用户资产的唯一且最高控制凭证,必须离线妥善保管,绝不向任何第三方透露。
市场背景分析显示,尽管整体安全形势有所好转,但网络钓鱼仍是加密货币市场的主要威胁之一。根据Web3安全工具Scam Sniffer于近期发布的报告,2025年全年,因网络钓鱼造成的损失金额为8330万美元,相比2024年的4.94亿美元大幅下降了83%。同时,受害人数也从2024年的33.2万下降至10.6万,同比减少68%。这表明投资者的安全意识正在提升。
然而,报告也揭示了一个危险信号:网络钓鱼损失与市场活跃度紧密相关。在2025年第三季度市场最为活跃的时期,钓鱼攻击造成的损失也达到了峰值。Scam Sniffer在报告中解释:“当市场活跃时,整体用户活动增加,总有一定比例的用户会成为受害者——网络钓鱼的成功率是用户活跃度的概率函数。”攻击者往往利用市场火热、用户交易频繁、警惕性可能下降的时机发动攻击。
此外,攻击者倾向于仿冒最流行的品牌以建立信任。MetaMask作为全球领先的自托管钱包,其母公司Consensys数据显示,其年用户数超过1亿,连接的去中心化应用达24.4万个,庞大的用户基础使其成为钓鱼攻击的高频仿冒目标。
展望未来,安全专家预测,随着加密货币应用的进一步普及,网络钓鱼攻击的手法将更加复杂和隐蔽,可能结合人工智能、深度伪造等技术。投资者应持续关注安全动态,牢记“不点击不明链接、不泄露私钥助记词、务必使用官方渠道”三大原则。同时,行业也需要不断加强安全基础设施建设和用户教育,共同构筑更坚固的防线,保护资产安全。
