导语:当市场活跃度提升,加密安全威胁也随之升级。近期,区块链安全公司SlowMist揭露了一起针对MetaMask用户的新型钓鱼骗局,攻击者通过伪造的“两步验证(2FA)安全检查”流程,诱导用户泄露助记词。值得注意的是,尽管2025年钓鱼诈骗总损失同比骤降83%至8330万美元,但第三季度市场活跃期损失仍出现峰值,这警示投资者:牛市中的安全警钟更需长鸣。
核心攻击手法曝光:伪造MetaMask 2FA验证流程
据SlowMist首席安全官23pds在社交平台披露,攻击者正通过伪造的MetaMask“两步验证安全验证”流程实施钓鱼。具体手法为:向用户发送虚假安全警告,将其引导至欺诈域名,并声称需在短时间内启用2FA,否则将失去关键钱包功能访问权限。最终,欺诈页面会要求用户输入12个单词的助记词(即秘密恢复短语)以“完成安全设置”。一旦用户泄露,钱包资产将瞬间被窃取。
市场背景分析:钓鱼损失与市场活跃度正相关
尽管钓鱼诈骗整体呈下降趋势,但Web3安全工具Scam Sniffer于周六发布的报告揭示了关键规律:钓鱼损失与市场活跃周期高度同步。报告数据显示,2025年钓鱼诈骗造成的总损失为8330万美元,较2024年的4.94亿美元下降83%;受害人数也从33.2万降至10.6万,同比下降68%。然而,损失在第三季度市场最活跃时期达到峰值。分析师指出,“当市场活跃时,整体用户活动增加,一定比例的用户会成为受害者——钓鱼攻击的发生概率与用户活动量呈函数关系。”
攻击者之所以选择冒充MetaMask,正是看中其庞大的用户基础以建立“信任”。据其母公司Consensys数据,MetaMask作为全球领先的自托管钱包,拥有超1亿年活用户和24.4万个连接的去中心化应用。
安全铁律重申与未来预测
此轮骗局再次敲响警钟:任何去中心化钱包协议都绝不会主动索要用户的秘密恢复短语。这串短语是钱包控制权的唯一凭证。展望未来,随着加密市场进入新的活跃周期,投资者应重点关注:1)品牌仿冒类钓鱼(攻击者常冒充最受欢迎的品牌);2)供应链攻击等新型威胁的演变。尽管防护意识整体提升,但在高活跃度的市场环境下,用户仍需对任何索要私钥或助记词的“安全验证”保持最高警惕。守住助记词,就是守住资产的第一道,也是最关键的一道防线。
