MetaMask出现“假双重认证”新型钓鱼诈骗，助记词被诱骗输入成最大风险

近期，MetaMask 用户正面临一种高度伪装的新型钓鱼诈骗风险。区块链安全公司 SlowMist 警告称，攻击者正在利用“启用双因素认证（2FA）”的名义，诱导用户主动泄露钱包助记词，从而直接盗取资产。这类 MetaMask 钓鱼诈骗针对性极强，已对加密货币用户安全构成现实威胁。

据披露，受害者通常会收到一封伪装成 MetaMask 官方的电子邮件，邮件包含品牌标识与安全提示，并声称用户需要立即启用双因素认证以“保护资产安全”。为了制造紧迫感，邮件中往往附带倒计时提示，诱导用户在压力下快速点击“立即启用”按钮。

一旦点击链接，用户会被重定向至攻击者搭建的虚假页面。该页面外观高度仿真，核心目的只有一个——诱骗用户输入钱包助记词。由于助记词等同于钱包最高权限，一旦泄露，攻击者即可在短时间内完成资产转移，且几乎无法追回。

事实上，这类钓鱼邮件并非毫无破绽。安全人员指出，诈骗页面和邮件中常存在细微异常，例如拼写错误、设计细节不一致，或域名伪装。本次事件中，用户被引导访问的域名为“mertamask”，而非官方的“metamask”。此外，发件人邮箱往往来自无关账户，甚至使用 Gmail 等公共邮箱域名。

需要特别强调的是，MetaMask 官方不会通过电子邮件要求用户进行账户验证、启用安全功能或输入助记词。任何此类请求，几乎可以确定为诈骗行为。

值得注意的是，这并非孤立事件。近期，加密货币用户接连遭遇多起钓鱼与恶意软件攻击，包括伪造的 MetaMask 应用更新、Trust Wallet 浏览器扩展被植入恶意代码，以及针对 Cardano 用户传播的虚假 Eternl Desktop 应用。这些攻击覆盖多个 EVM 兼容网络，受害者数量广泛。

尽管 Scam Sniffer 数据显示，2025 年加密货币钓鱼诈骗造成的总体损失同比下降近 88%，但安全专家提醒，攻击手法正在变得更加精细和“可信”。对于 MetaMask 用户而言，最关键的安全原则仍然不变：永远不要向任何网站或邮件泄露助记词，并始终通过官方渠道获取钱包更新和安全信息。