近期,MetaMask 用户正面临一种高度伪装的新型钓鱼诈骗风险。区块链安全公司 SlowMist 警告称,攻击者正在利用“启用双因素认证(2FA)”的名义,诱导用户主动泄露钱包助记词,从而直接盗取资产。这类 MetaMask 钓鱼诈骗针对性极强,已对加密货币用户安全构成现实威胁。
据披露,受害者通常会收到一封伪装成 MetaMask 官方的电子邮件,邮件包含品牌标识与安全提示,并声称用户需要立即启用双因素认证以“保护资产安全”。为了制造紧迫感,邮件中往往附带倒计时提示,诱导用户在压力下快速点击“立即启用”按钮。
一旦点击链接,用户会被重定向至攻击者搭建的虚假页面。该页面外观高度仿真,核心目的只有一个——诱骗用户输入钱包助记词。由于助记词等同于钱包最高权限,一旦泄露,攻击者即可在短时间内完成资产转移,且几乎无法追回。
事实上,这类钓鱼邮件并非毫无破绽。安全人员指出,诈骗页面和邮件中常存在细微异常,例如拼写错误、设计细节不一致,或域名伪装。本次事件中,用户被引导访问的域名为“mertamask”,而非官方的“metamask”。此外,发件人邮箱往往来自无关账户,甚至使用 Gmail 等公共邮箱域名。
需要特别强调的是,MetaMask 官方不会通过电子邮件要求用户进行账户验证、启用安全功能或输入助记词。任何此类请求,几乎可以确定为诈骗行为。
值得注意的是,这并非孤立事件。近期,加密货币用户接连遭遇多起钓鱼与恶意软件攻击,包括伪造的 MetaMask 应用更新、Trust Wallet 浏览器扩展被植入恶意代码,以及针对 Cardano 用户传播的虚假 Eternl Desktop 应用。这些攻击覆盖多个 EVM 兼容网络,受害者数量广泛。
尽管 Scam Sniffer 数据显示,2025 年加密货币钓鱼诈骗造成的总体损失同比下降近 88%,但安全专家提醒,攻击手法正在变得更加精细和“可信”。对于 MetaMask 用户而言,最关键的安全原则仍然不变:永远不要向任何网站或邮件泄露助记词,并始终通过官方渠道获取钱包更新和安全信息。
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
