MetaMask出現“假雙重認證”新型釣魚詐騙，助記詞被誘騙輸入成最大風險

近期，MetaMask 用戶正面臨一種高度偽裝的新型釣魚詐騙風險。區塊鏈安全公司 SlowMist 警告稱，攻擊者正在利用“啟用雙因素認證（2FA）”的名義，誘導用戶主動泄露錢包助記詞，從而直接盜取資產。這類 MetaMask 釣魚詐騙針對性極強，已對加密貨幣用戶安全構成現實威脅。

據披露，受害者通常會收到一封偽裝成 MetaMask 官方的電子郵件，郵件包含品牌標識與安全提示，並聲稱用戶需要立即啟用雙因素認證以“保護資產安全”。為了製造緊迫感，郵件中往往附帶倒計時提示，誘導用戶在壓力下快速點擊“立即啟用”按鈕。

一旦點擊鏈接，用戶會被重定向至攻擊者搭建的虛假頁面。該頁面外觀高度仿真，核心目的只有一個——誘騙用戶輸入錢包助記詞。由於助記詞等同於錢包最高權限，一旦泄露，攻擊者即可在短時間內完成資產轉移，且幾乎無法追回。

事實上，這類釣魚郵件並非毫無破綻。安全人員指出，詐騙頁面和郵件中常存在細微異常，例如拼寫錯誤、設計細節不一致，或域名偽裝。本次事件中，用戶被引導訪問的域名為“mertamask”，而非官方的“metamask”。此外，發件人郵箱往往來自無關帳戶，甚至使用 Gmail 等公共郵箱域名。

需要特別強調的是，MetaMask 官方不會通過電子郵件要求用戶進行帳戶驗證、啟用安全功能或輸入助記詞。任何此類請求，幾乎可以確定為詐騙行為。

值得注意的是，這並非孤立事件。近期，加密貨幣用戶接連遭遇多起釣魚與惡意軟件攻擊，包括偽造的 MetaMask 應用更新、Trust Wallet 瀏覽器擴展被植入惡意代碼，以及針對 Cardano 用戶傳播的虛假 Eternl Desktop 應用。這些攻擊覆蓋多個 EVM 兼容網絡，受害者數量廣泛。

儘管 Scam Sniffer 數據顯示，2025 年加密貨幣釣魚詐騙造成的總體損失同比下降近 88%，但安全專家提醒，攻擊手法正在變得更加精細和“可信”。對於 MetaMask 用戶而言，最關鍵的安全原則仍然不變：永遠不要向任何網站或郵件泄露助記詞，並始終通過官方渠道獲取錢包更新和安全資訊。