數百個MetaMask錢包遭盜：「更新」前你該檢查什麼

鏈上安全研究員 ZachXBT 標記了跨多個 EVM 鏈的數百個錢包遭到小額盜領,每位受害者通常損失低於 2,000 美元,資金流入單一可疑地址。

盜竊總額攀升至 107,000 美元以上並持續上升。根本原因仍不明,但用戶回報收到偽裝成強制性 MetaMask 升級的釣魚郵件,配有戴著派對帽的狐狸標誌和「新年快樂!」主旨。

這次攻擊發生在開發人員放假期間,支援管道只有少數人員值班,而用戶正在瀏覽充斥著新年促銷的收件匣。

攻擊者利用了這個時機。每位受害者的小額損失顯示,在許多情況下,盜領者是透過合約授權而非完全竊取助記詞來操作,這使個別損失保持在受害者立即發出警報的門檻之下,但允許攻擊者擴展至數百個錢包。

業界仍在處理另一起 Trust Wallet 瀏覽器擴充套件事件,其中 Chrome 擴充套件 v2.68 中的惡意程式碼竊取了私鑰,在 Trust Wallet 修補至 v2.69 之前,從 2,520 個錢包中盜領了至少 850 萬美元。

兩種不同的攻擊,同樣的教訓:用戶端點仍然是最薄弱的環節。

有效釣魚郵件的剖析

這封 MetaMask 主題的釣魚郵件展示了這些攻擊為何成功。

寄件者身分顯示為「MetaLiveChain」,這個名稱聽起來似乎與 DeFi 相關,但與 MetaMask 毫無關聯。

郵件標頭包含「reviews@yotpo.com」的取消訂閱連結,顯示攻擊者從合法行銷活動中竊取了範本。郵件正文展示戴著派對帽的 MetaMask 狐狸標誌,將節慶歡樂與關於「強制更新」的人為緊迫感結合。

這種組合繞過了大多數用戶對明顯詐騙採用的啟發式判斷。

這封釣魚郵件冒充 MetaMask,使用戴派對帽的狐狸標誌,謊稱需要進行「強制性」2026 系統升級才能存取帳戶。

MetaMask 的官方安全文件建立了明確規則。支援郵件僅來自已驗證的地址,例如 support@metamask.io,絕不會來自第三方網域。

錢包提供商不會發送主動要求驗證或升級的郵件。

此外,任何代表都不會要求提供秘密恢復助記詞。然而這些郵件之所以有效,是因為它們利用了用戶在智識上知道的事情與當官方外觀訊息到達時他們反射性行為之間的落差。

四個信號在造成損害前揭露釣魚。

首先,品牌與寄件者不符,來自「MetaLiveChain」的 MetaMask 品牌標識顯示範本遭竊。其次,圍繞強制更新製造的緊迫感,而 MetaMask 明確表示不會發送此類郵件。

第三,目標 URL 與聲稱的網域不符,點擊前先懸停可揭露實際目標。第四,違反核心錢包規則的請求,例如要求助記詞或提示簽署不透明的鏈下訊息。

ZachXBT 案例展示了簽名釣魚機制。點擊假升級連結的受害者可能簽署了合約授權,授予盜領者移動代幣的權限。

那個單一簽名為跨多個鏈的持續盜竊打開了大門。攻擊者選擇每個錢包的小額金額,因為合約授權通常預設具有無限支出上限,但盜領所有資金會立即引發調查。

將盜竊分散到數百個受害者,每人 2,000 美元,在個人雷達下飛行,同時累積六位數總額。

撤銷授權並縮小影響範圍

一旦點擊釣魚連結或簽署惡意授權,優先事項轉移到遏制。MetaMask 現在允許用戶直接在 MetaMask Portfolio 內查看和撤銷代幣授權。

Revoke.cash 引導用戶完成簡單流程:連接您的錢包,檢查每個網路的授權,並為不受信任的合約發送撤銷交易。

Etherscan 的代幣授權頁面提供相同功能,用於手動撤銷 ERC-20、ERC-721 和 ERC-1155 授權。這些工具很重要,因為快速行動的受害者可以在失去一切之前切斷盜領者的存取權限。

授權洩露與助記詞洩露之間的區別決定了錢包是否可以挽救。MetaMask 的安全指南劃出了一條硬線:如果您懷疑秘密恢復助記詞已暴露,請立即停止使用該錢包。

在新設備上建立新錢包,轉移剩餘資產,並將原始助記詞視為永久作廢。當攻擊者僅持有合約權限時,撤銷授權有幫助;如果您的助記詞遺失,整個錢包必須放棄。

Chainalysis 記錄了 2025 年約 158,000 次個人錢包洩露,影響至少 80,000 人,儘管總被盜價值降低到約 7.13 億美元。

根據 Chainalysis 數據,個人錢包損失占加密貨幣盜竊總額的比例從 2022 年的約 10% 攀升到 2025 年的近 25%。

攻擊者以較小金額攻擊更多錢包,這正是 ZachXBT 識別出的模式。實際意義:組織錢包以限制影響範圍與避免釣魚同樣重要。

單一遭洩露的錢包不應意味著整個投資組合損失。

建立深度防禦

如果採用,錢包提供商已推出可以遏制此攻擊的功能。

MetaMask 現在鼓勵在代幣授權上設定支出上限,而不是接受預設的「無限制」權限。Revoke.cash 和 De.Fi 的 Shield 儀表板倡導將授權審查視為例行衛生措施,同時將硬體錢包用於長期持有。

MetaMask 預設啟用來自 Blockaid 的交易安全警報,在執行簽名前標記可疑合約。

Trust Wallet 擴充套件事件強化了深度防禦的必要性。該漏洞繞過了用戶決策,官方 Chrome 清單中的惡意程式碼自動竊取密鑰。

將持有資產分散到硬體錢包(冷儲存)、軟體錢包(溫交易)和燃燒錢包(實驗性協議)的用戶限制了暴露。

這種三層模型產生了摩擦,但摩擦正是重點。捕獲燃燒錢包的釣魚郵件損失數百或數千美元。針對持有整個投資組合的單一錢包的同樣攻擊會損失改變人生的金錢。

ZachXBT 盜領者成功是因為它針對了便利性與安全性之間的縫隙。大多數用戶將所有東西保存在一個 MetaMask 實例中,因為管理多個錢包感覺很麻煩。

攻擊者賭元旦那天一封看起來專業的郵件會讓足夠多的人措手不及,從而產生有利可圖的交易量。這個賭注得到了回報,目前已達 107,000 美元並持續增加。

MetaMask 的官方指南識別出三個釣魚警示信號:錯誤的寄件者地址、主動的緊急升級要求,以及要求秘密恢復助記詞或密碼。

利害關係

這起事件提出了一個更深層的問題:在自我保管的世界中,誰承擔端點安全的責任?

錢包提供商建立反釣魚工具,研究人員發布威脅報告,監管機構警告消費者。然而攻擊者只需要一封假郵件、一個複製的標誌和一個盜領合約就能洩露數百個錢包。

促成自我保管、無需許可交易、匿名地址和不可逆轉轉帳的基礎設施也使其變得無情。

業界將此視為教育問題:如果用戶驗證寄件者地址、懸停連結並撤銷舊授權,攻擊就會失敗。

然而,Chainalysis 關於 158,000 次洩露的數據顯示,僅靠教育無法擴展。攻擊者的適應速度快於用戶學習。MetaMask 釣魚郵件從粗糙的「您的錢包已鎖定!」範本演變為精緻的季節性活動。

Trust Wallet 擴充套件漏洞證明,即使謹慎的用戶,如果分發管道遭洩露,也可能損失資金。

有效的做法:為重要持有使用硬體錢包、無情地撤銷授權、根據風險狀況隔離錢包,以及對來自錢包提供商的任何主動訊息持懷疑態度。

無效的做法:預設錢包介面是安全的、將授權視為一次性決策,或為了方便將所有資產合併在單一熱錢包中。ZachXBT 盜領者將被關閉,因為該地址已被標記,交易所將凍結存款。

但下週將推出另一個盜領者,使用稍微不同的範本和新的合約
地址。

這個循環持續進行,直到用戶內化加密貨幣的便利性會創造最終被利用的攻擊面。選擇不是在安全性和可用性之間,而是在現在的摩擦和以後的損失之間。

本文《數百個 MetaMask 錢包遭盜領:「更新」前應檢查的事項》首次發表於 CryptoSlate。