导语:近期,区块链安全领域拉响警报。据慢雾科技披露,一种伪装成MetaMask官方“双重验证(2FA)安全检查”的新型钓鱼骗局正在蔓延,其核心目的是诱骗用户交出钱包的12词助记词。此次事件再次敲响安全警钟,同时也揭示了一个矛盾现象:尽管整体钓鱼损失金额同比骤降83%,但在市场活跃期,此类攻击依然猖獗。本文将深入剖析此次攻击手法,并结合最新市场数据,为投资者提供关键防范策略。
核心攻击手法曝光:伪造安全流程,精准心理操控
据慢雾科技首席安全官23pds在社交媒体上警告,攻击者正通过伪造的MetaMask“2FA安全验证流程”实施钓鱼。攻击链通常始于一封伪造的官方邮件或警告,声称用户需在限定时间内启用2FA,否则将失去关键钱包功能访问权。用户被引导至虚假域名后,最终会被要求输入12词助记词以“完成安全设置”。值得注意的是,任何去中心化钱包协议都绝不会主动索要用户的助记词,这是控制钱包的最高权限。
市场背景分析:损失额骤降背后,活跃市场成“狩猎场”
尽管新型骗局手法翻新,但整体加密货币钓鱼形势似乎有所缓和。根据Web3安全工具Scam Sniffer于上周六发布的最新报告,2025年全年因钓鱼诈骗造成的损失金额降至8330万美元,相较于2024年的4.94亿美元,同比大幅下降83%。受害者人数也从2024年的33.2万人减少至2025年的10.6万人,同比下降68%。
然而,报告同时揭示了一个关键风险点:钓鱼损失在第三季度市场最活跃的时期达到峰值。分析师指出,这清晰地表明钓鱼损失与市场活跃度紧密相关。当市场交易频繁、用户活动增加时,受害的绝对人数也随之上升。Scam Sniffer在报告中写道:“钓鱼攻击如同一个基于用户活跃度的概率函数。”攻击者倾向于冒充MetaMask这类拥有超1亿年活跃用户的主流品牌,以快速建立信任,实施精准诈骗。
结尾预测与警示:安全意识提升,但永恒警惕是唯一解药
综合来看,钓鱼诈骗损失的大幅下降,标志着投资者整体安全意识的显著提升和教育工作的成效。但此次针对MetaMask的复杂钓鱼攻击也说明,黑客正从“广撒网”转向更具欺骗性的“精准钓杀”。投资者应关注,任何索要助记词、私钥的行为都是最高级别的红色警报。随着市场可能进入新的活跃周期,预计此类利用人性弱点和品牌信任的高级诈骗手法将持续出现。保护资产安全的第一道和最后一道防线,始终是用户自身对安全原则的坚守:助记词永不触网,官方渠道唯一可信。
