导语:近日,区块链安全公司SlowMist发出紧急警报,揭露一场针对MetaMask用户的新型网络钓鱼攻击。攻击者通过伪造双因素认证(2FA)安全验证流程,诱导用户泄露钱包恢复短语(助记词),进而盗取资产。尽管数据显示2025年全球网络钓鱼诈骗损失同比大幅下降83%至8330万美元,受害者人数减少68%,但此类威胁在牛市活跃期仍呈抬头之势,投资者亟需提高警惕。
核心骗局手法揭露:据市场分析,此次攻击的核心在于“仿冒”与“诱导”。攻击者首先通过伪造的安全警告,将用户重定向至假冒MetaMask的欺诈域名。随后,界面会以“启用2FA”为名,制造紧迫感,声称用户若不在短时间内完成操作,将失去关键钱包功能访问权限。最终,骗局的关键一步是要求用户输入其12个单词的种子短语以“完成安全设置”。SlowMist首席安全官23pds明确指出,一旦用户分享恢复短语,钱包内的资金将瞬间被窃。
市场背景与数据分析:网络钓鱼诈骗在加密货币领域长期存在,但最新数据揭示了积极变化。根据Web3安全工具Scam Sniffer于周六发布的报告,2025年因网络钓鱼造成的损失金额为8330万美元,较2024年的4.94亿美元骤降83%。同时,受害者人数也从2024年的33.2万减少至10.6万,同比下降68%。分析师指出,这在一定程度上表明投资者正变得更加明智,对这类威胁的辨识能力有所提升。
然而,值得注意的是,报告也发出了警告信号:网络钓鱼损失在第三季度——即市场最活跃的时期——达到峰值。这强烈暗示钓鱼损失与市场活跃度紧密相关。Scam Sniffer在报告中解释:“当市场活跃时,整体用户活动增加,一定比例的用户会成为受害者——网络钓鱼作为一种用户活动的概率函数而运作。”攻击者往往选择模仿MetaMask这类最受欢迎的品牌来建立与受害者的信任。数据显示,MetaMask作为全球领先的自托管钱包,其母公司Consensys称其拥有超过1亿年活跃用户和24.4万个连接的去中心化应用。
安全警示与结尾预测:SlowMist强调,这一新的诈骗浪潮是一个鲜明的提醒:去中心化钱包协议永远不会主动向用户索要秘密恢复短语,该短语是掌控钱包的唯一钥匙。投资者应时刻牢记此基本原则。展望未来,尽管年度诈骗数据呈现下降趋势,但在牛市情绪高涨、用户活动频繁的周期内,精心伪装的网络钓鱼攻击风险依然高企。安全专家预测,随着市场波动,此类利用人性弱点和品牌信任的“社会工程学”攻击将持续演变,保持警惕、验证信息来源、绝不泄露私钥或助记词,将是每位加密参与者必须恪守的安全底线。
