loading...
近日,知名加密安全机构 SlowMist 发布紧急警报,指出一种针对 MetaMask 钱包用户的新型网络钓鱼攻击正在蔓延。该攻击利用仿冒的双重认证界面,诱导用户输入钱包恢复助记词,从而实现资产盗取。
SlowMist 首席安全负责人 “23pds” 表示,攻击者使用类似 “mertamask” 的拼写错误域名,构建与真实 MetaMask 界面高度一致的虚假登录页。页面设计包含倒计时提示和安全警告弹窗,营造出高可信度假象。当用户进入最后一步时,系统会以“完成验证”为由,要求输入助记词,实则完成信息窃取。
根据行业数据,2025年全年因网络钓鱼造成的加密货币损失约为 8385 万美元,较2024年大幅下降83%。受害者数量也减少约68%,降至10.6万人。然而,攻击手段却日趋复杂,呈现出“精准化、心理操控化”的新特征。
数据显示,仅在以太坊市场表现强劲的第三季度,损失高达3100万美元,其中8月至9月占全年总损失的29%。这反映出攻击活动与市场热度存在显著关联,形成典型的“概率型欺诈”模式。
损失最严重的单起事件发生在9月,由钱包签名伪造引发,造成约650万美元损失。许可签名机制如“Permit”和“Permit2”仍是高危攻击媒介,在超过百万美元的案件中占比达38%。
随着以太坊“Pectra”升级落地,基于EIP-7702的新式恶意签名技术出现,可同时伪造多个授权指令,仅在8月就导致254万美元损失。
2025年,损失超百万美元的重大事件从上年的30起缩减至11起。与此同时,大规模小额攻击成为主流——平均单个钱包损失降至790美元,多数不超过2000美元。这表明攻击者正从“巨鲸”转向普通零售用户,实施“广撒网、低投入、高回报”的策略。
当前,一种名为“排水器”的恶意工具正跨链传播,其核心并非技术漏洞,而是依赖社会工程学手段,利用用户信任心理实施诈骗。
为应对这一威胁,MetaMask、Phantom、WalletConnect、Backpack 等主流钱包服务商已联合成立“全球网络钓鱼防御网络”(SEAL)。该系统支持用户实时举报可疑网站,经自动验证后迅速同步至各合作平台,实现快速拦截。
MetaMask 安全研究员 Ohm Shah 强调:“对抗‘排水器’是一场持久战。通过与 SEAL 合作,我们能更快识别并封禁钓鱼入口。” 其核心工具“已验证钓鱼报告系统”可有效过滤虚假举报,提升响应效率。
除了技术攻击,深度伪造视频也开始被用于金融欺诈。例如,2024年4月,某项目联合创始人 Kenny Li 在一次 Zoom 会议中遭遇身份冒充,对方诱导其安装恶意脚本。事后调查指向与朝鲜相关的黑客组织 Lazarus。
2025年12月,加密资产因黑客攻击和安全事件造成的总损失为7600万美元,相较11月的1.942亿美元下降60%。尽管整体数据向好,但地址篡改、浏览器钱包漏洞等潜在威胁依然持续演进。
问:MetaMask 双重认证钓鱼攻击具体如何运作?
答:攻击者伪造认证页面,诱导用户输入助记词,谎称完成2FA验证。
问:为什么绝对不应该输入恢复助记词?
答:助记词是账户唯一密钥,一旦泄露将永久失去资产控制权。
问:报道称 2025 年加密货币钓鱼损失下降了,这是否意味着更安全了?
答:虽然总量下降,但攻击方式更隐蔽,需提高警惕。
问:MetaMask 和其他钱包服务商如何应对?
答:通过SEAL联盟构建实时防御网络,实现跨平台协同拦截。
问:个人用户应如何保护自己免受此类诈骗?
答:不点击陌生链接,定期检查钱包授权,使用硬件钱包存储大额资产。
面对日益复杂的网络威胁,选择一个安全可靠的交易平台至关重要。对于希望参与加密资产交易的用户,可以选择在币安或欧易等知名平台进行注册和交易。这些平台均提供多重安全防护机制,支持多币种交易与资产管理功能,用户可通过币安官方网或欧易官方网获取最新地址、APP下载入口,完成快速注册与实名认证,畅享稳定高效的数字资产投资体验。
496
473
655
700
447
142
532
280
241
851
