导语:在加密货币市场活跃的背景下,安全威胁正以更隐蔽的方式卷土重来。区块链安全公司SlowMist近期发出警报,一种新型钓鱼攻击正伪装成MetaMask的“两步验证(2FA)安全检查”,诱骗用户交出钱包助记词。值得注意的是,尽管行业数据显示2025年钓鱼攻击造成的总损失同比大幅下降了83%,降至8330万美元,但第三季度损失在牛市活跃期达到峰值,市场热度与安全风险呈现出紧密的关联性。
核心攻击手法曝光:假2FA流程套取真助记词
据SlowMist首席安全官23pds披露,攻击者通过伪造MetaMask的安全警告,将用户引导至欺诈域名。整个骗局的核心是模仿一个虚假的“两步验证(2FA)安全验证流程”,最终步骤会要求用户输入12个单词的助记词(即秘密恢复短语)以“完成安全设置”。一旦用户交出助记词,攻击者便能完全控制其钱包并窃取所有资产。分析师指出,这再次印证了一个铁律:去中心化钱包协议永远不会主动向用户索要助记词。
市场背景:钓鱼攻击损失骤降,但牛市风险暗藏
根据Web3安全工具Scam Sniffer于周六发布的报告,虽然2025年钓鱼诈骗造成的总损失从2024年的4.94亿美元大幅下降至8330万美元,受害者人数也从33.2万减少至10.6万,同比下降68%,但风险并未消失。报告强调,钓鱼损失在第三季度市场最活跃的时期达到顶峰,这清晰地表明,钓鱼攻击的成功率与整体市场活跃度呈正相关。“当市场活跃时,用户整体活动增加,总有一定比例的人会成为受害者——钓鱼攻击的成功率是用户活动量的概率函数。” Scam Sniffer在报告中写道。攻击者往往选择模仿MetaMask这类拥有超过1亿年活用户的主流品牌来建立信任,从而提高了诈骗的迷惑性。
结尾预测与警示
展望未来,随着加密货币应用场景的不断拓宽和用户基数的增长,安全威胁的形式将更加多元化。尽管数据表明投资者正变得更加警惕,但攻击者的策略也在同步“升级”。投资者应重点关注在牛市情绪高涨时期保持冷静,对任何索要私钥、助记词或敏感信息的“安全提示”保持绝对怀疑。市场分析认为,安全教育的普及与用户意识的提升是抵御此类威胁的长期关键,而行业也需要在钱包交互设计和风险提示上做出更优化的改进,以应对不断演变的网络钓鱼战术。
