警告：假冒的雙重驗證安全詐騙攻擊已席捲網路，針對MetaMask用戶

MetaMask 用戶面臨使用假冒 2FA 電子郵件的釣魚詐騙。以下是如何辨識紅旗並立即保護您的錢包的方法。

數字資產持有者再次受到攻擊，因為一個重大的 MetaMask 2FA 安全驗證釣魚詐騙在網路上流傳。

攻擊者發送逼真的電子郵件，敦促收件人立即更新安全設置。

這些訊息聲稱，如果受害者未在特定截止日期前採取行動，將導致錢包功能受限。然而，這些警告完全是虛假的，旨在竊取數字資產。

釣魚詐騙現象概述

詐騙手法利用受害者對資金損失的恐懼。

用戶會收到一封看起來完全像來自 MetaMask 支援團隊的官方通知的電子郵件。這類電子郵件通常會有熟悉的狐狸標誌和專業品牌。

內容還解釋說，現在必須啟用新的兩因素認證 (2FA)。並且說為了“驗證”身份，用戶需在1月4日截止前點擊一個連結。

🚨 最新 #metamask 釣魚詐騙警報

攻擊者冒充“2FA安全驗證”流程，通過類似域名將用戶重定向到假冒的安全警告頁面，並配有倒數計時器和“真實性檢查”。

最後一步要求提供您的錢包恢復短語——一次…… pic.twitter.com/3bX9U1wZbs

— SlowMist (@SlowMist_Team) 2026年1月5日

來自 SlowMist 公司的安全研究員 23pds 是首批發現此活動的人之一。他警告說，這些電子郵件會將用戶重定向到“拼寫錯誤域名”。

為了背景說明，這些網站看起來像是真實地址，但有微小的拼寫錯誤。一旦用戶訪問這些網站，就會看到倒數計時器，警告他們必須快速行動，提供憑證。

如果用戶提供了這些資訊，攻擊者可以在幾秒內導入錢包並竊取所有資金。

對抗 MetaMask 2FA 釣魚詐騙的主動措施

Halborn 的網路安全專家此前曾呼籲加密貨幣公司採取更積極的措施。

他們表示，由於沒有任何系統能阻止每一封釣魚電子郵件，用戶應始終核實發件人的實際電子郵件地址。此外，詐騙者常用“MetaMask 支援”之類的名稱來隱藏身份，而實際地址則是一串隨機字母。

話雖如此，保持安全的最佳方法之一是了解加密錢包的運作方式。

MetaMask 是一個自我保管的服務。

這意味著除非你特別開啟支援工單，否則公司沒有你的資訊資料庫。他們絕不會主動聯繫你，如果你收到一封聲稱你的錢包“被鎖定”或“暫停”的電子郵件，幾乎可以肯定是詐騙。

ConsenSys (，這個錢包背後的公司)的安全團隊，也已發布明確規則，聲明公司絕不會在任何情況下索取你的恢復短語。

他們也不需要你的 Apple ID 或 Google 帳戶資訊來運作。如果網站要求你的種子短語以“啟用 2FA”，你應立即關閉該標籤頁。