MetaMask用戶面臨一個新的「2FA驗證」釣魚詐騙，詐騙者假借提升安全性之名竊取他們的種子短語。
摘要

• MetaMask用戶正受到一場涉及假冒2FA驗證流程的釣魚攻擊。
• 這波新攻擊緊隨一次大規模錢包漏洞和Trust Wallet Chrome擴展事件之後。

根據區塊鏈安全公司SlowMist的報告，MetaMask用戶收到一封偽造的電子郵件，該郵件通過提示用戶啟用雙重驗證來營造緊迫感。該訊息帶有MetaMask品牌標誌，乍看之下似乎很可信。(見下文。) 攻擊者發送的偽造電子郵件 | 來源：X/im23pds

值得注意的是，該惡意通知還配有倒數計時器，增加用戶的壓力，試圖迫使他們快速回應。

點擊「立即啟用2FA」按鈕後，用戶會被重定向到由攻擊者托管的假冒頁面。然而，實際上整個過程都是一場騙局。主要目的是誘使MetaMask用戶輸入他們的助記詞，攻擊者可以利用這些資訊存取並轉移他們錢包中的資金。(見下文。) 要求用戶輸入種子短語的惡意網站 | 來源：X/im23pds

雖然乍看之下，一個較不謹慎的用戶可能會上當，但偽造電子郵件中有幾個明顯的跡象可以幫助用戶辨識詐騙。

例如，這類釣魚訊息常包含微妙的拼寫錯誤或設計不一致之處，揭示其真實身份。在此案例中，MetaMask用戶被重定向的網址拼寫為「mertamask」而非「metamask」。有時這些電子郵件也會由完全無關的電子郵件帳號發送，或使用像Gmail這樣的公共域名地址。(見下文。) 偽造電子郵件中的拼寫錯誤 | 來源：X/im23pds

最後，重要的是要記住，MetaMask不會發送未經請求的電子郵件來要求用戶驗證帳戶或進行安全更新。任何此類請求通常都是詐騙。

近期針對加密貨幣用戶的釣魚攻擊活動

上週末，網路安全研究員Vladimir S.指出一個類似的攻擊活動，該活動推送一個假冒的MetaMask應用程式更新。据信此事件與一個持續的錢包耗盡漏洞有關。

根據鏈上偵探ZachXBT的說法，該事件導致每個錢包損失不到2,000美元，但影響範圍涵蓋多個EVM相容網路的用戶。然而，目前尚未確認這兩個攻擊是否確實有關聯。

此事件也與發生在聖誕節的Trust Wallet駭客事件相關，損失金額約達$7 百萬美元。

攻擊者成功取得錢包瀏覽器擴展的源代碼，並將惡意版本上傳至Chrome Web Store。Trust Wallet已承諾將賠償所有受影響的用戶。

另外，Cardano用戶也被警告有另一場正在進行的攻擊，該攻擊散布電子郵件推廣一款名為Eternl Desktop的詐騙應用。

儘管這些事件都在不到兩週內發生，但最近的Scam Sniffer報告顯示，2025年加密貨幣釣魚攻擊的總損失較前一年下降了近88%。