loading...
近日,知名加密安全机构 SlowMist 发布风险预警,指出一种针对 MetaMask 钱包用户的新型网络钓鱼攻击正悄然蔓延。该攻击以伪装双重认证流程为手段,诱导用户在看似合法的页面中输入钱包恢复助记词,从而实现资产盗取。
据 SlowMist 首席安全负责人 “23pds” 揭露,攻击者利用高度仿真的虚假网站,采用类似 “mertamask” 的混淆域名,将用户引导至精心设计的伪造认证页面。这些页面不仅复刻真实 MetaMask 界面风格,还加入倒计时器与安全警告提示,制造紧迫感以降低用户警惕性。在最后环节,以“完成验证即可解锁功能”为诱饵,迫使用户输入私密助记词。
根据行业权威报告,2025年全年因网络钓鱼导致的加密货币损失约为 8385 万美元,较前一年大幅下降 83%。受害者人数也从上年的约 34 万降至 10.6 万人,降幅达 68%。然而,这并不意味着风险减弱——攻击手法反而更加复杂,呈现出“精准化、心理操控化”的新特征。
数据显示,网络钓鱼活动与市场周期密切相关。在以太坊表现强劲的第三季度,损失高达 3100 万美元,其中 8 月至 9 月期间的损失占全年总额的 29%。这一现象揭示了“概率型欺诈”模式:高交易活跃期成为攻击者首选窗口。
损失最严重的单起事件发生在 9 月,由恶意签名授权引发,造成约 650 万美元资产蒸发。许可签名机制如 “Permit” 和 “Permit2” 仍是主要漏洞,超过百万美元损失事件中,有 38% 与此类授权相关。
以太坊 “Pectra” 升级后,基于 EIP-7702 的新型恶意签名技术出现,可伪造用户意图并批量执行多条指令。仅在 8 月,此类攻击就导致 254 万美元损失。
2025年,损失超百万美元的大型事件由上年的 30 起锐减至 11 起。与此同时,大规模小额攻击频发,平均单个钱包损失降至 790 美元,多数不超过 2000 美元。这表明攻击者正从“巨鲸”转向普通零售用户,实施“广撒网、小收割”策略。
当前,一种名为“排水器”的恶意工具正在多个区块链上扩散。安全专家强调,这类攻击更多依赖社会工程学,而非技术缺陷,其核心在于利用用户信任与信息不对称。
为应对这一挑战,MetaMask、Phantom、WalletConnect 及 Backpack 等主流钱包服务商已联合成立安全联盟(SEAL),推出“全球网络钓鱼防御网络”。该系统支持用户实时举报可疑网址,经自动验证后,迅速同步至各合作钱包平台,实现跨链快速拦截。
MetaMask 安全研究员 Ohm Shah 表示:“对抗‘排水器’是一场持久战。通过与 SEAL 合作,我们能更快构建防御闭环。” 其核心工具“已验证钓鱼报告系统”可有效过滤虚假举报,提升响应效率。
除了技术型攻击,深度伪造视频也成为新型欺诈手段。例如,2024 年 4 月,某知名项目联合创始人 Kenny Li 在一次 Zoom 会议中遭遇身份冒充,对方诱导其安装恶意脚本。事件最终被归因于与朝鲜相关的黑客组织 Lazarus。
2025年 12 月,加密货币相关安全事件总损失为 7600 万美元,相比 11 月的 1.942 亿美元下降 60%。尽管数据向好,但专家提醒,地址篡改、浏览器钱包漏洞、权限滥用等传统威胁仍在持续演化。
问:MetaMask 双重认证钓鱼攻击具体如何运作?
答:攻击者伪造登录页面,诱导用户输入助记词,谎称需“完成验证”方可使用服务。
问:为什么绝对不应该输入恢复助记词?
答:助记词是唯一恢复钱包的凭证,一旦泄露,资产将永久丢失。
问:报道称 2025 年加密货币钓鱼损失下降了,这是否意味着更安全了?
答:损失下降反映防御能力提升,但攻击手法更隐蔽,仍需保持高度警惕。
问:MetaMask 和其他钱包服务商如何应对?
答:通过与 SEAL 联盟合作,建立实时举报与共享机制,强化前端拦截能力。
问:个人用户应如何保护自己免受此类诈骗?
答:不点击未知链接,核对域名真实性,绝不输入助记词,优先使用官方渠道如币安交易所或欧易交易所的 App 下载入口。
随着网络安全形势不断变化,选择可靠交易平台至关重要。币安和欧易提供多币种交易、低手续费和稳定服务,用户可通过官网或 App 下载快速注册,畅享便捷投资体验。无论是防范钓鱼攻击,还是进行日常交易,确保使用正规渠道如币安官方网或欧易官方网,是保障资产安全的第一步。
667
126
910
175
783
946
158
393
885
465
