近日,区块链安全领域拉响警报。据知名安全机构SlowMist披露,一种伪装成MetaMask官方进行虚假双重认证(2FA)安全验证的新型钓鱼骗局正在蔓延,其核心目的是窃取用户的钱包助记词(恢复短语)。这一事件再次敲响警钟:任何去中心化钱包协议都绝不会主动索要你的私钥或助记词。与此同时,最新行业报告显示,尽管钓鱼攻击造成的总损失同比大幅下降,但在市场活跃期,此类犯罪活动仍伺机而动。
据SlowMist首席安全官23pds在社交媒体上警告,攻击者通过伪造MetaMask的安全警告,将用户诱导至欺诈性域名。诈骗流程最终会要求用户输入12个单词的助记词以“完成安全设置”。一旦用户照做,钱包内的资产将瞬间被窃取。值得注意的是,MetaMask作为全球领先的自托管钱包,拥有超过1亿的年活跃用户,使其成为不法分子仿冒的头号目标,以期利用其品牌信誉骗取用户信任。
此类钓鱼攻击并非新事物,但当前市场背景下的数据变化值得关注。根据Web3安全工具Scam Sniffer于周六发布的一份报告,2025年全年因钓鱼诈骗造成的损失为8330万美元,相比2024年的4.94亿美元,同比骤降了83%。同时,受害用户数量也从2024年的33.2万减少至2025年的10.6万,同比下降了68%。分析师指出,这在一定程度上表明投资者的安全意识正在增强,对这类威胁更加警惕。
然而,市场分析也揭示了一个不容乐观的趋势:钓鱼攻击的损失在第三季度——即市场最为活跃的时期——达到了峰值。报告明确指出,“当市场活跃时,整体用户活动增加,一定比例的用户会成为受害者——钓鱼攻击的发生概率与用户活动量紧密相关。” 这意味着,伴随牛市而来的用户激增,可能会为诈骗者提供更多可乘之机。
综合来看,尽管行业整体在反钓鱼方面取得了显著进展,但威胁从未远离。投资者应始终保持最高级别的警惕,牢记保护私钥和助记词的第一原则。随着加密市场持续发展,安全攻防战也将不断升级。可以预见,未来结合人工智能等新技术的复杂骗局可能涌现,用户教育、安全工具升级与行业协作,将是构筑下一道防线的关键。
