区块链安全行业高度警惕。一种新的、阴险的网络钓鱼活动正瞄准流行的加密货币钱包 MetaMask 的用户。
这种攻击的特殊性在于其极端的真实性:欺诈者正在使用虚假的 "双因素身份验证"(2FA)流,诱骗受害者自愿交出他们的恢复短语。
骗局剖析:进阶版社会工程学
根据安全公司区块链 SlowMist on X 的首席运营官的说法,该行动的技术和心理复杂程度均高于平均水平。欺骗过程始于表面上的官方通信。
这些邮件使用了 MetaMask 的专业品牌、狼徽标和原始色调,宣布引入双因素身份验证的强制要求。为了最大限度地提高效率,攻击者使用了与官方域名几乎完全相同的域名:在一个记录在案的案例中,区别仅在于一个字母,而这个细节对于分心的用户或专注于请求的紧迫性的用户来说几乎是看不见的。
2FA 伪造陷阱
点击链接后,用户将进入一个镜像网站,在那里他将被引导通过一个看似合法的安全程序。正是在这里触发了最终陷阱:在最后一步,用户被要求以完成 2FA 安全检查为借口输入 "种子短语"(记忆性恢复短语)。恢复短语是数字钱包的主密钥。正如专家们不断提醒的那样,任何拥有它的人都可以:
- 在没有任何授权或所有者不知情的情况下转移资金。
- 完全独立地签署和执行交易。
从本质上讲,欺诈者一旦获得种子短语,就可以绕过任何密码或设备审批,使正常的安全保护措施失效。
。🚨MetaMask 出现新型 '2FA 安全验证' 骗局 @MetaMask @tayvano_
- 23pds (山哥) (@im23pds) 2026年1月5日
注意防范 pic.twitter.com/RJM78If9zb
2025悖论:损失减少,风险加剧
这一威胁是在特殊的市场背景下出现的。2025 年的数据显示,加密货币世界中与网络钓鱼相关的损失急剧下降。与 2024 年被盗的近 4.94 亿美元相比,被盗金额下降了约 83%,约为 8,400 万美元。
然而,这种下降不应导致虚假的安全感。随着 2026 年初市场出现复苏的初步迹象--人们对纪念币的兴趣再次高涨,小型(散户)投资者的参与度也有所提高--网络犯罪分子又开始使用更加精良的方法进行攻击。
如何保护自己
这种骗局的矛盾之处在于,它利用了 2FA 这一为保护而生的工具的良好声誉来欺骗用户。
专家们重申了一条没有例外的黄金法则:任何钱包提供商都不会要求用户提供恢复短语来激活安全功能或进行技术验证。
在人们对数字资产热情高涨的大环境下,对网络钓鱼方法的认识和谨慎的凭证管理仍然是唯一真正有效的防御手段。金科玉律依然未变:无论出于任何原因,您都绝不能与任何人共享您的种子短语。
