加密钱包平台 MetaMask(俗称“小狐狸钱包”)近日证实,部分用户遭遇一起以“二次验证(2FA)安全核查”为名的钓鱼诈骗事件,已有用户因误信假冒邮件而导致钱包资产被盗。官方已发布紧急提醒,呼吁用户高度警惕类似诈骗行为。
据介绍,诈骗分子通过发送高度仿真的 MetaMask “官方安全邮件”,要求用户在 2026 年 1 月 4 日前 更新 2FA 安全验证信息,并声称若未完成操作,钱包部分功能将被限制甚至停用。实际上,这些邮件并非来自 MetaMask 官方,而是精心策划的钓鱼攻击。
安全人士指出,该类诈骗通常具备完整且具有迷惑性的流程,包括:
冒充 MetaMask 官方安全页面
提供虚假的 2FA 验证界面
设置倒计时制造紧迫感
诱导用户输入钱包助记词
一旦用户提交助记词,钱包控制权将被不法分子完全掌握,资产可能在短时间内被全部转移。
区块链安全公司 SlowMist 合伙人兼首席信息安全官(CISO)23pds 早前已在社交平台发布预警,明确指出:任何要求更新 2FA 或索要助记词的邮件链接,均可视为诈骗。
网络安全研究员 Tomas Meskauskas 也提醒,防范此类钓鱼攻击的关键在于核实发件人邮箱地址,不应因邮件内容看似“官方”或“紧急”而轻易点击链接或提交敏感信息。
类似骗局此前已多次出现。澳大利亚网络安全公司 MailGuard 曾拦截多封假冒 MetaMask 的钓鱼邮件,这些邮件同样以“账户异常”“安全升级”为由,诱导用户启用虚假 2FA。安全机构警告称,一封设计精巧的钓鱼邮件,就足以造成重大加密资产损失,甚至导致设备被植入恶意程序。
MetaMask 官方重申多项安全原则:
官方不会主动发送随机验证或安全核查邮件
绝不会索要助记词、私钥、Apple 或 Google 账户信息
所有安全设置仅可通过官方平台或应用内完成
用户如收到可疑邮件,应立即删除并避免任何互动
此外,区块链安全公司 Halborn 呼吁,包括 MetaMask 在内的加密服务平台,应建立更主动的反钓鱼应对机制和快速事件响应流程,以在攻击发生后最大程度降低用户损失。
安全专家同时提醒用户,启用多重验证(2FA / MFA)、提升邮件安全意识,并避免在任何外部链接中输入助记词,仍是防范加密资产诈骗最有效、最基础的防线。
