通過虛假 2FA 安全警報針對 MetaMask 用戶的複雜網絡釣魚攻擊

儘管 2025 年加密貨幣網絡釣魚攻擊造成的損失大幅下降，但該活動凸顯了社會工程策略的複雜程度日益提高。

MetaMask 網絡釣魚方案剖析

區塊鏈安全公司 SloWMist 的 CSO 在 X（前身為 Twitter）上最近發布的一篇文章中強調了這一騙局。 此網絡釣魚操作使用多層欺騙手段損害用戶錢包。

受害者收到的電子郵件似乎來自MetaMask支持，宣布強制兩因素身份驗證要求。 這些電子郵件使用專業品牌，包括 MetaMask 狐狸標誌和配色方案。

該帖子透露攻擊者正在使用與官方域名非常相似的域名。 在記錄的案例中，假域名僅相差一個字母，因此乍一看很難識別。

一旦用戶登陸網絡釣魚網站，他們就會被引導完成看似合法的安全流程。 在最後階段，受害者被要求以完成“2FA 安全驗證”為藉口輸入助記詞。

這就是這個騙局的關鍵點。 錢包的助記詞（也稱為恢復短語或助記詞）是錢包的主密鑰。 任何有權訪問它的人都可以：

• 在原所有者不知情或未批准的情況下轉移資金
• 在另一台設備上重新創建錢包
• 完全控制所有關聯的私鑰
• 獨立簽署並執行交易

一旦有人獲得助記詞，他們就可以訪問錢包沒有需要密碼、雙因素身份驗證或設備批准。 因此，錢包提供商不斷警告用戶在任何情況下都不要分享他們的助記詞。

雖然雙因素身份驗證旨在保護用戶，但攻擊者卻利用其聲譽來欺騙用戶。 這種心理策略，加上技術技巧和緊迫性，仍然是一個潛在的威脅。

該騙局發生在與網絡釣魚相關的損失更廣泛放緩之後。 數據顯示，損失2025 年，與加密貨幣網絡釣魚相關的金額大幅​​下降，下降約 83%，至約 8400 萬美元，而上一年則接近 4.94 億美元。

Scam Sniffer 的報告稱：“網絡釣魚損失與市場活動密切相關。第三季度，ETH 反彈最為強勁，網絡釣魚損失也最高（3100 萬美元）。當市場活躍時，總體用戶活動增加，受害者比例增加，網絡釣魚作為用戶活動的概率函數進行運作。”

2026 年初市場活動顯示出複甦的早期跡象，包括 meme 幣反彈以及增加的跡象散戶參與後，攻擊者也重新出現。 因此，提高對網絡釣魚方法的認識和謹慎處理錢包憑證仍然至關重要。