导语:当市场活跃,黑客也随之起舞。近日,区块链安全公司SlowMist发出紧急警告,一种伪装成MetaMask官方“两步验证(2FA)”安全检查的新型钓鱼骗局正在蔓延,其核心目的是诱骗用户交出钱包助记词。这再次为所有加密资产持有者敲响了安全警钟。尽管数据显示,2025年全球钓鱼诈骗损失额同比骤降83%至8330万美元,但第三季度市场活跃期的损失峰值表明,安全威胁从未远离。
核心骗局剖析:一场精心策划的“官方”陷阱
据SlowMist首席安全官23pds在社交平台披露,攻击者通过伪造MetaMask的安全警告邮件,将用户引导至欺诈域名。邮件中声称用户需在短时间内启用2FA,否则将失去关键钱包功能访问权限。在伪造的“安全设置”流程最后一步,骗子会直接索要用户的12个单词的助记词。值得注意的是,任何去中心化钱包协议都永远不会主动向用户索要助记词,这是掌控钱包资产的唯一钥匙。
市场背景:损失下降背后的“活动周期”规律
根据Web3安全工具Scam Sniffer周六发布的报告,2025年钓鱼诈骗造成的总损失为8330万美元,相比2024年的4.94亿美元下降了83%。受害者人数也从33.2万减少至10.6万,同比下降68%。分析师指出,这标志着投资者对此类威胁的警惕性正在提高。
然而,一个关键数据不容忽视:钓鱼损失在第三季度市场最活跃的时期达到了峰值。报告指出,“当市场活跃时,整体用户活动增加,总有一定比例的人会成为受害者——钓鱼诈骗的发生概率与用户活动水平紧密相关。” 这解释了为何在牛市氛围中,安全威胁往往更加猖獗。
为何MetaMask成为头号仿冒目标?
钓鱼诈骗者通常选择最流行的品牌来建立“信任”。根据其母公司Consensys的数据,MetaMask作为全球领先的自托管钱包,拥有超过1亿的年活跃用户和24.4万个连接的去中心化应用。庞大的用户基数和极高的品牌知名度,使其自然成为不法分子进行社会工程学攻击的首选伪装对象。
结尾预测与投资者行动指南
尽管年度数据呈现积极态势,但第三季度的损失峰值明确警示:安全防护不可有丝毫松懈,尤其在市场情绪高涨时期。未来,随着市场周期波动和用户入口的不断拓展,钓鱼攻击的手段或将更加隐蔽和复杂。投资者应关注:1. 绝不向任何网站或人员透露助记词或私钥;2. 仔细核对所有官方通信的域名和来源;3. 启用硬件钱包等更高级别的安全措施。在通往主流采用的道路上,用户教育和个人安全意识的提升,将是抵御此类“概率性”威胁最坚固的防线。
