loading...
近日,知名安全机构 SlowMist 发出高危预警,指出一种针对 MetaMask 钱包用户的新型网络钓鱼攻击正在蔓延。该骗局以伪造的双重认证流程为诱饵,诱导用户输入敏感的恢复助记词,从而彻底掌控其数字资产。
据 SlowMist 首席安全负责人 “23pds” 揭露,攻击者使用与真实界面高度相似的仿冒网站,域名如“mertamask”等极具迷惑性。这些页面内置倒计时器和虚假警告提示,营造紧迫感,诱导用户在未察觉的情况下提交助记词。此类社会工程学手段已演变为当前最危险的威胁之一。
数据显示,2025年全年因网络钓鱼造成的加密货币损失约为 8385 万美元,同比大幅减少 83%;受害者数量也降至约 10.6 万人,降幅达 68%。然而,这并不意味着环境更安全——攻击技术反而更加精细,呈现出“低频高损”向“高频小损”的转移趋势。
行业分析指出,攻击活动与市场周期高度关联。以太坊表现强劲的第三季度,损失高达 3100 万美元,其中 8 月至 9 月占全年总损失的 29%,印证了“概率型欺诈”模式的存在。
单次损失最高的事件发生在 9 月,由恶意签名伪造引发,造成约 650 万美元损失。许可授权机制如 “Permit” 和 “Permit2” 成为关键突破口,在百万美元级事件中占比达 38%。
以太坊 “Pectra” 升级后,基于 EIP-7702 的新型恶意签名方式出现,可同时执行多个非法操作,仅在 8 月就导致 254 万美元损失。
2025年,超百万美元的大型攻击事件从上年的 30 起降至 11 起,但针对数百个钱包发起的小额、批量攻击显著上升。平均单笔损失降至 790 美元,多数钱包损失不超过 2000 美元,反映出攻击者策略转向普通零售用户。
当前,一种名为“排水器”的恶意工具正在多条公链上扩散。安全专家强调,这类攻击更多依赖心理操控,而非技术漏洞,属于典型的社会工程学行为。
为应对危机,MetaMask、Phantom、WalletConnect、Backpack 等主流钱包服务商联合成立“全球网络钓鱼防御网络”(SEAL)。该系统支持用户实时举报可疑网站,经自动验证后立即同步至合作平台,实现快速拦截。
MetaMask 安全研究员 Ohm Shah 表示:“与‘排水器’的对抗是一场持久战。通过与 SEAL 合作,我们能更快构建响应机制,缩短防御延迟。” 其核心工具“已验证钓鱼报告系统”有效过滤虚假举报,确保信息精准传递。
除技术攻击外,深度伪造内容也开始介入。例如,2024 年 4 月,某项目联合创始人 Kenny Li 在 Zoom 通话中遭遇身份冒充,被诱导安装恶意脚本。事件最终被归因于与朝鲜相关的黑客组织 Lazarus。
2025年 12 月,加密资产因黑客攻击和安全事件造成的总损失为 7600 万美元,较 11 月的 1.942 亿美元下降 60%。尽管数字趋稳,但地址篡改、浏览器钱包漏洞等隐患仍持续演化,提醒用户不可掉以轻心。
问:MetaMask 双重认证钓鱼攻击具体如何运作?
答:攻击者伪造登录页,诱导用户输入助记词,伪装成正常验证流程。
问:为什么绝对不应该输入恢复助记词?
答:一旦泄露,将永久失去对钱包的控制权,且无法恢复。
问:报道称 2025 年加密货币钓鱼损失下降了,这是否意味着更安全了?
答:损失下降反映打击力度增强,但攻击手法更隐蔽,需提高警惕。
问:MetaMask 和其他钱包服务商如何应对?
答:通过加入 SEAL 防御网络,实现跨平台实时举报与拦截。
问:个人用户应如何保护自己免受此类诈骗?
答:切勿点击不明链接,始终通过官方渠道访问钱包,避免输入助记词。
随着安全威胁不断升级,选择可靠交易平台成为关键一环。对于希望参与加密资产交易的用户,可以选择在币安或欧易等知名平台进行注册和交易。币安和欧易提供多币种交易、低手续费和稳定服务,用户可通过官网或 App 下载快速注册,畅享便捷投资体验。无论是新手还是资深玩家,访问币安官方网或欧易官方网,获取最新地址、APP下载入口,都是保障资产安全的第一步。
667
126
910
175
783
946
158
393
885
465
