MetaMask钓鱼骗局升级！币安官方网&欧易官方网提醒用户警惕2FA伪造攻击

加密货币安全公司 SlowMist 发布紧急警告

  近日，知名加密安全机构 SlowMist 发出重大风险提示，揭露一种针对 Mask 钱包用户的新型网络钓鱼攻击。该骗局利用仿冒的双重认证界面，诱导用户主动输入钱包恢复助记词，从而实现资产完全控制。

攻击手法剖析

  SlowMist 首席安全负责人 “23pds” 表示，攻击者使用高度相似的域名（如 “mertamask”）搭建虚假登录页面，界面设计与真实 Mask 完全一致，并加入倒计时器和安全警告提示，制造紧迫感。当用户进入最后一步时，系统会以“完成身份验证”为由，要求输入助记词，实则完成资产盗取。

2025年网络钓鱼犯罪趋势

  根据行业统计，2025年因网络钓鱼导致的加密货币损失总额约为 8385 万美元，较2024年下降 83%。受害者人数也从上年的约 33.5 万人减少至 10.6 万人，降幅达 68%。然而，攻击技术复杂度显著提升，呈现出“精准化、高仿真”的特征。

  数据显示，2025年第三季度以太坊价格走强期间，网络钓鱼损失高达 3100 万美元，占全年总损失的近四成。其中，8月至9月的损失占比达 29%，反映出攻击活动与市场情绪高度相关，形成典型的“概率型欺诈”模式。

主要攻击向量与演变

  单次最大损失事件发生于9月，因钱包签名伪造造成约 650 万美元损失。许可签名机制如 “Permit” 和 “Permit2” 成为最常见攻击路径，在超过百万美元的案件中占比达 38%。

  以太坊 “Pectra” 升级后，基于 EIP-7702 的新型恶意签名方式开始流行，可同时执行多条指令且伪装成用户授权行为。仅在8月，此类攻击就导致 254 万美元损失。

  2025年，损失超百万美元的大型事件从上年的 30 起降至 11 起，但小规模、广撒网式攻击激增。平均单个钱包损失已降至 790 美元，多数不超过 2000 美元，表明攻击者正从“巨鲸”转向普通零售用户，实施低门槛、高频率的渗透策略。

行业协作防御

  当前，一种名为“排水器”的恶意工具正在多个公链上快速传播。安全专家强调，这类攻击本质是社会工程学的高级应用，利用人性弱点而非单纯技术漏洞。

  为应对这一挑战， Mask、Phantom、WalletConnect、Backpack 等主流钱包服务已联合成立“全球网络钓鱼防御网络”（SEAL）。该系统支持用户实时举报可疑网站，经自动验证后，信息将同步至所有合作钱包平台，实现跨链快速拦截。

   Mask 安全研究员 Ohm Shah 指出：“对抗‘排水器’是一场持久战。通过与 SEAL 的深度协作，我们能更早识别威胁，构建更智能的防护体系。” 其核心工具“已验证钓鱼报告系统”可有效过滤误报，确保响应效率。

新兴威胁：深度伪造

  除了技术攻击，深度伪造视频诈骗也日益猖獗。例如，2024年4月，某项目联合创始人 Kenny Li 在一次 Zoom 会议中遭遇身份冒充，对方诱导其安装恶意脚本。事件最终被归因于与朝鲜相关的黑客组织 Lazarus，凸显了非技术性攻击的严重性。

整体安全形势

  2025年12月，加密货币安全事件总损失为 7600 万美元，相较11月的 1.942 亿美元大幅下降 60%。然而，专家提醒，地址篡改、浏览器钱包漏洞等长期隐患仍在持续演化，防范意识不可松懈。

常见问题解答

问： Mask 双重认证钓鱼攻击具体如何运作？
答：攻击者伪造认证页面，诱导用户输入助记词，谎称“完成验证”，实则完成资产转移。

问：为什么绝对不应该输入恢复助记词？
答：助记词是私钥的唯一备份，一旦泄露，钱包将完全暴露，无法追回。

问：报道称 2025 年加密货币钓鱼损失下降了，这是否意味着更安全了？
答：虽总量下降，但攻击手法更隐蔽，用户需提高警惕，避免落入新型骗局。

问： Mask 和其他钱包服务商如何应对？
答：通过加入 SEAL 防御网络，实现跨平台实时举报与拦截。

问：个人用户应如何保护自己免受此类诈骗？
答：不点击陌生链接，核对网址，绝不输入助记词；优先使用可信平台如币安或欧易进行资产管理。

  随着监管新政不断推进，市场趋势也更加注重安全性与合规性。对于希望参与加密资产交易的用户，可以选择在币安或欧易等知名平台进行注册和交易。这些平台提供多币种交易、低手续费和稳定服务，用户可通过官网或 App 下载快速注册，畅享便捷投资体验。无论是币安官方网还是欧易官方网，均具备完善的风控体系与多重验证机制，是保障数字资产安全的理想选择。