导语:近日,区块链安全机构SlowMist发布紧急预警,揭露了一场针对MetaMask用户的新型钓鱼攻击。攻击者伪装官方身份,通过伪造的“两步验证(2FA)”安全流程,诱骗用户交出钱包助记词,导致资产被盗。这一事件再次为去中心化钱包用户敲响了安全警钟。
核心观点与数据:据安全公司Scam Sniffer于周六发布的报告显示,尽管钓鱼攻击造成的总损失在2025年降至8330万美元,相比2024年的4.94亿美元大幅下降了83%,但此类威胁并未消失。值得注意的是,受害人数也从2024年的33.2万减少至2025年的10.6万,同比下降了68%。然而,报告同时指出,在市场活动最活跃的第三季度,钓鱼损失达到峰值,这表明钓鱼攻击的活跃度与市场热度紧密相关。
市场背景与攻击手法分析:本次曝光的攻击手法极具欺骗性。攻击者通过伪造的安全警告邮件,将用户重定向至仿冒MetaMask的欺诈域名,并谎称用户需在短时间内启用2FA,否则将失去关键钱包功能。在欺诈流程的最后一步,用户会被要求输入12个单词的助记词以“完成安全设置”。一旦用户照做,攻击者便能完全控制其钱包并转移资产。分析师指出,钓鱼诈骗者通常会仿冒最受欢迎的品牌(如拥有超1亿年活用户的MetaMask)来建立信任。去中心化钱包协议本身绝不会主动索要用户的助记词,这是用户必须牢记的安全底线。
结尾预测与安全建议:尽管钓鱼攻击事件数量在减少,表明投资者正变得更加警惕,但新型、更具针对性的攻击手段仍在不断涌现。随着市场进入活跃期,用户整体活动增加,成为受害者的概率也随之上升。投资者应高度关注此类安全威胁,切勿在任何非官方渠道输入私钥或助记词。未来,加密行业的安全攻防战将持续升级,用户教育、安全工具(如Scam Sniffer)的普及以及项目方更严格的安全警示,将是构筑防御体系的关键。
