SlowMist 警告針對 MetaMask 錢包的精密 2FA 詐騙

SlowMist 首席安全官「23pds」發布緊急警告,指出一種針對 MetaMask 用戶的新型網路釣魚詐騙,透過偽造的雙因素身份驗證頁面來竊取錢包恢復助記詞。

這種精密的攻擊模仿 MetaMask 的安全介面,使用與合法平台高度相似的偽造網域名稱,誘騙用戶相信他們正在完成標準安全程序,實則交出關鍵的錢包憑證。

該詐騙透過多個欺騙性階段運作,利用用戶對安全協議的信任。

攻擊者創建如「mertamask」而非「metamask」的詐騙網域,並將受害者重新導向看似真實的安全警報頁面。

用戶隨後會看到一個貌似標準的 2FA 驗證畫面,包含倒數計時器和逼真的安全提醒,在最後一步以完成身份驗證為由要求提供助記詞之前建立虛假信心。

隨著網路釣魚策略演變,新攻擊手法浮現

儘管 2025 年整體網路釣魚損失大幅下降,錢包盜取攻擊從前一年的近 4.94 億美元降低了 83% 至 8,385 萬美元,但攻擊者持續調整其手法。

根據 Cryptonews 報導,受影響的用戶數量降低到約 10.6 萬人,年減 68%。

然而,像 MetaMask 2FA 詐騙這樣的精密操作顯示,即使總損失下降,威脅行為者仍持續改進社交工程策略。

2025 年全年,網路釣魚活動與更廣泛的市場週期密切相關,第三季在 Ethereum 最強勁的上漲期間錄得最高損失 3,100 萬美元。

僅 8 月和 9 月就佔全年總損失的近 29%,強化了安全專家所認為的網路釣魚作為「用戶活動的機率函數」,即交易量越高,潛在受害者池越大。

今年最大的單一事件涉及 9 月的一起 650 萬美元盜竊案,與惡意 Permit 簽名有關。

Permit 和 Permit2 批准仍是最有效的攻擊手法,在超過 100 萬美元的案例中佔損失的 38%,而在 Ethereum 的 Pectra 升級後出現了新的攻擊手法。

攻擊者開始濫用基於 EIP-7702 的惡意簽名,這使得多個有害操作可以捆綁到單一用戶批准中,導致 8 月發生兩起此類事件,造成 254 萬美元損失。

儘管整體下降,攻擊者將策略從大規模盜竊轉向大規模散戶攻擊,2025 年僅有 11 起案例超過 100 萬美元,而前一年有 30 起。

每位受害者的平均損失降低到 790 美元,顯示更廣泛地關注散戶用戶而非孤立的高知名度盜竊。

近期的協同攻擊已掏空 EVM 相容網路上數百個錢包,每個地址的個人損失通常低於 2,000 美元。

產業動員防禦網路對抗持續威脅

包括 MetaMask、Phantom、WalletConnect 和 Backpack 在內的主要錢包供應商,透過與安全聯盟(SEAL)合作推出全球網路釣魚防禦網路,創建他們所描述的用於即時威脅識別的「去中心化免疫系統」。

該系統允許全球任何人提交可驗證的網路釣魚報告,這些報告會自動驗證並廣播到所有參與的錢包,實現更快的回應時間並可能挽救更多資金。

「盜取者是一場持續的貓捉老鼠遊戲,」MetaMask 安全研究員 Ohm Shah 表示。「與 SEAL 合作使錢包開發者能夠更快行動,並對盜取者的基礎設施造成破壞。」

該防禦工作建立在 SEAL 的可驗證網路釣魚報告工具上,該工具讓安全研究人員能夠證明被報告的網站實際上託管網路釣魚內容。

除了技術利用之外,深度偽造技術已成為另一個威脅手法,Manta Network 聯合創辦人 Kenny Li 在 4 月透露,他在一次精密的 Zoom 通話中成為目標,該通話使用熟悉人物的預錄影片。

攻擊者試圖誘騙他下載偽裝成 Zoom 更新的惡意腳本檔案,Li 懷疑與北韓相關的 Lazarus Group 參與其中。

同時,12 月與加密貨幣相關的駭客攻擊和網路安全漏洞損失降低了 60% 至約 7,600 萬美元,低於 11 月的 1.942 億美元。

然而,安全專家警告,諸如地址投毒詐騙和瀏覽器錢包漏洞等持續威脅仍繼續針對整個生態系統的用戶。