导语:据区块链安全公司SlowMist最新警报,一场针对MetaMask用户的新型网络钓鱼攻击正在蔓延。攻击者通过伪造双重认证(2FA)安全验证流程,诱骗用户交出钱包助记词,从而窃取资产。这再次为加密投资者敲响了安全警钟。
核心攻击手法曝光:伪造2FA验证窃取助记词
据SlowMist首席安全官23pds在社交平台X上披露,攻击者正在冒充MetaMask官方,通过伪造的“安全警告”将用户引导至欺诈域名。这些页面会催促用户在短时间内启用2FA,并声称否则将失去关键钱包功能访问权限。最终,欺诈流程会要求用户输入12个单词的助记词以完成所谓的“安全设置”。分析师指出,任何去中心化钱包协议都绝不会主动向用户索要秘密恢复短语,这是资产控制权的核心。
市场背景:钓鱼攻击损失骤降,但高峰期风险犹存
尽管新型骗局层出不穷,但整体加密钓鱼攻击形势有所缓和。根据Web3安全工具Scam Sniffer于周六发布的一份报告,2025年钓鱼诈骗造成的损失同比大幅下降83%,从2024年的4.94亿美元降至8330万美元。与此同时,钓鱼诈骗受害者人数也同比减少了68%,从2024年的33.2万人降至2025年的10.6万人。值得注意的是,报告同时指出,钓鱼攻击损失在第三季度市场最活跃的时期达到峰值,这表明损失与市场活动量紧密相关。Scam Sniffer在报告中写道:“当市场活跃时,整体用户活动增加,其中一部分人就会成为受害者——钓鱼攻击的发生概率是用户活动量的函数。”
行业观察:头部品牌最易被仿冒,用户教育任重道远
钓鱼诈骗者通常会冒充最受欢迎的品牌以获取受害者信任。作为全球领先的自托管钱包,据其母公司Consensys数据,MetaMask拥有超过1亿年活跃用户和24.4万个连接的去中心化应用,这使其自然成为不法分子的重点模仿目标。投资者应关注,保护助记词就是保护资产所有权的根本。
结尾预测与警示
尽管数据显示钓鱼攻击的整体损失和受害者数量在下降,反映出投资者安全意识的提升,但新型、更具迷惑性的攻击手段(如本次伪造2FA流程)仍在不断涌现。在市场进入活跃周期时,此类诈骗活动很可能随之抬头。对于所有加密资产持有者而言,牢记“永不泄露助记词”这一铁律,对任何索要私钥或助记词的“安全验证”保持最高警惕,是保障资产安全不可逾越的底线。未来,随着用户规模持续扩大,安全防护与用户教育仍需双管齐下,共同构建更健康的加密生态。
