MetaMask 使用者面臨新的「2FA 驗證」網路釣魚詐騙風險,該詐騙以提升安全性為幌子竊取他們的助記詞。

根據區塊鏈安全公司 SlowMist 的說法,MetaMask 使用者正收到偽造的電子郵件,透過提示他們啟用雙重認證來製造虛假的緊迫感。該訊息帶有 MetaMask 品牌標識,乍看之下頗具說服力。(見下圖。)

值得注意的是,這個惡意通知還附帶倒數計時器,增加對使用者的壓力,試圖迫使其快速回應。

點擊「立即啟用 2FA」按鈕後,使用者會被重新導向到攻擊者託管的假網頁。然而,實際上整個過程都是騙局。主要目的是誘騙 MetaMask 使用者輸入他們的助記詞,攻擊者可以使用這些資訊存取並轉移他們錢包中的資金。(見下圖。)

雖然不夠謹慎的使用者乍看之下可能會上當,但這封偽造電子郵件包含幾個可以幫助使用者識破詐騙的破綻。

例如,此類網路釣魚訊息通常包含細微的錯字或設計不一致之處,可以揭示其真實性質。在這個案例中,MetaMask 使用者被重新導向的網址拼寫為「mertamask」而非「metamask」。在某些情況下,這些電子郵件也是從完全無關的電子郵件帳戶發送,或從使用公共網域(如 Gmail)的地址發送。(見下圖。)

最後,重要的是要記住 MetaMask 不會發送未經請求的電子郵件要求使用者驗證其帳戶或執行安全更新。任何此類請求通常都是詐騙。

最近針對加密貨幣使用者的網路釣魚活動

上週晚些時候,網路安全研究員 Vladimir S. 標記了一個類似的活動,推送假的 MetaMask 應用程式更新。據信這與正在進行的錢包耗盡漏洞攻擊有關。

根據鏈上偵探 ZachXBT 的說法,該事件導致每個錢包損失不到 2,000 美元,但影響了多個 EVM 相容網路上的廣泛使用者。然而,尚未確認這兩項活動是否確實有關聯。

該事件還與聖誕節當天發生的 Trust Wallet 駭客攻擊有關,損失金額攀升到約 700 萬美元。

攻擊者成功存取了該錢包瀏覽器擴充功能的原始碼,並將惡意版本的擴充功能上傳到 Chrome 線上應用程式商店。Trust Wallet 已承諾補償所有受該事件影響的使用者。

另外,Cardano 使用者也被警告注意另一項正在進行的攻擊,該攻擊散播推廣詐騙性 Eternl Desktop 應用程式的電子郵件。

儘管這些事件全部發生在不到兩週的時間內,但 Scam Sniffer 最近的一份報告顯示,2025 年加密貨幣網路釣魚活動造成的總損失較前一年降低了近 88%。