在加密货币市场迎来新一轮活跃周期的当下,一场精心伪装的新型网络钓鱼攻击正悄然瞄准全球超过1亿的MetaMask用户。据区块链安全公司SlowMist披露,攻击者通过伪造MetaMask的“双重认证(2FA)安全检查流程”,诱骗用户交出钱包的助记词,进而盗取资产。这一事件为所有Web3参与者敲响了安全警钟。值得注意的是,任何去中心化钱包协议都绝不会主动向用户索要助记词,这是保护资产的最后一道防线。
核心观点与数据:钓鱼攻击损失锐减,但市场活跃期风险加剧
据Web3安全工具Scam Sniffer于上周六发布的报告,2025年全年,因网络钓鱼诈骗造成的损失金额为8330万美元,与2024年的4.94亿美元相比,同比大幅下降了83%。与此同时,钓鱼诈骗的受害者数量也从2024年的33.2万人减少至2025年的10.6万人,同比下降了68%。这一数据表明,随着行业安全教育的普及,投资者对钓鱼威胁的警惕性正在提高。
市场背景分析:骗局如何利用市场热度与用户心理
然而,表面的数据下降并不能掩盖风险的结构性变化。报告指出,钓鱼攻击造成的损失在2025年第三季度市场最为活跃的时期达到了峰值。这清晰地揭示了一个规律:钓鱼损失与市场活跃度紧密相关。分析师指出,当市场交易活跃时,整体用户活动量增加,总有一定比例的用户会成为受害者——钓鱼本质上是一种基于用户活动概率的函数。攻击者正是利用了用户在市场狂热时期急于操作、疏于防范的心理。
此次针对MetaMask的新骗局便是典型案例。攻击者通过伪造的安全警告邮件,将用户引导至虚假域名,并谎称用户需在短时间内启用2FA,否则将失去关键钱包功能访问权限。在欺诈流程的最后一步,页面会要求用户输入12个单词的助记词以“完成安全设置”。一旦用户照做,其钱包内的资产将瞬间被洗劫一空。SlowMist首席安全官23pds已在社交媒体上对此发出明确警告。
钓鱼诈骗者惯于冒充最受欢迎的品牌来建立信任。根据其母公司Consensys的数据,MetaMask作为全球领先的自托管钱包,拥有超过1亿年活跃用户和24.4万个连接的去中心化应用,自然成为不法分子的首要仿冒目标。
结尾预测与建议:安全警钟长鸣,投资者应持续提升风控意识
尽管钓鱼攻击事件数量在减少,但攻击手法正变得更加隐蔽和具有针对性。供应链攻击等新型威胁正在重塑安全格局。投资者应关注,在市场进入牛市或活跃阶段时,必须加倍警惕各类“安全升级”、“账户验证”等说辞。牢记“助记词即资产”,绝不向任何网站、应用或自称官方的人员透露。未来,随着AI等技术的滥用,诈骗手段或将更加难以甄别,但万变不离其宗的核心仍是获取用户的私密信息。唯有保持冷静、遵循基础安全原则,才能在这场与黑客的持久战中保护好自己的数字资产。
