一场新型钓鱼骗局正在针对 MetaMask 用户蔓延,利用高度逼真的“双重身份验证(2FA)”流程,窃取钱包的助记词。
该骗局凸显了社交工程手法的日益复杂,尽管 2025 年加密货币钓鱼攻击相关损失已大幅下降。
区块链安全公司 SlowMist 的首席安全官日前在 X(原 Twitter)发文指出,这一钓鱼操作采用多重欺骗手法,意图攻破用户钱包安全防线。
受害者会收到伪装成MetaMask 官方支持的邮件,宣称必须启用双重身份验证。邮件页面高度仿真,采用了官方的狐狸标志及配色方案,极具迷惑性。
SlowMist 指出,攻击者利用的钓鱼域名与真实网址极为相似,仅有一个字母之差,极难被用户一眼辨识。
一旦用户进入钓鱼网站,会被引导进行看似正规的安全验证流程。在最后一步,页面会以“2FA 安全校验”为由,要求用户填写钱包助记词。
这是整场骗局的核心环节。钱包助记词(又称恢复词或助记码)是数字钱包的主密钥,任何获取到该信息的人都可:
- 在原持有者不知情或未授权的情况下随意转移资产
- 在其他设备上完全还原该钱包
- 彻底掌控所有关联私钥
- 独立签署、执行所有链上交易
一旦有人掌握助记词,无需密码、双重身份验证,甚至无需设备授权,即可直接进入该钱包。因此,各大钱包平台始终强烈提醒用户,无论任何情况,切勿泄露助记词。
尽管双重身份验证本意是保护用户,但黑客正是利用其良好口碑,实施心理诱导。这种以假乱真的心理操控,加上技术手段和“紧急通知”氛围,使得此类骗局屡屡奏效,威胁依旧不容小觑。
近期的骗局事件正值加密行业钓鱼相关损失整体下滑之际。数据显示,2025 年由加密钓鱼造成的损失大幅减少,降幅约为 83%,损失金额约 8 400 万美元,而前一年则高达近 4.94 亿美元。
“钓鱼损失与市场活动紧密相关。2025 年第三季度,以太坊价格大涨,钓鱼损失也达到最高,单季损失 3 100 万美元。市场活跃时,用户交易频次提升,受害者比例随之增加——钓鱼本质上是用户活跃度的概率函数。”Scam Sniffer 在报告中写道。
2026 年年初,市场已有复苏迹象,迷因币行情升温,散户活跃度也逐步提升。与此同时,攻击者也开始卷土重来。因此,行业仍需高度警惕各类钓鱼手法,加强钱包密钥安全保护,以防资产损失。
