MetaMask 用户面临新的 2FA 钓鱼诈骗，SlowMist 表示

• 攻击者伪装MetaMask警报和假冒2FA页面以窃取助记词。
• MetaMask域名使用拼写相似和紧迫策略来欺骗用户。

一波新的钓鱼攻击再次针对MetaMask用户，这次采用了更为精细和协调的布局。SlowMist的首席信息安全官(CISO)已发出警报，警示一种以“2FA验证”为幌子的新骗局，其外观比早期攻击更为真实可信。 此方法模仿官方安全流程，引导受害者访问假网站，其中之一是“Mertamask”。许多用户在此时变得措手不及，因为界面和叙述看起来似乎来自MetaMask的官方系统。

🚨MetaMask 出现新型 ‘2FA 安全验证’ 骗局 @MetaMask @tayvano_
注意防范 pic.twitter.com/RJM78If9zb

— 23pds (山哥) (@im23pds) 2026年1月5日

该方案通常以一封伪造的安全通知邮件开始，警告用户钱包中存在可疑活动。信息毫不拖延，催促收件人立即“验证”。然而，用户并非被引导至官方页面，而是被重定向到一个故意相似的Mertamask域名。 字母的细微变化很容易被忽略，尤其是在紧急警告促使人们陷入恐慌时。一旦点击，受害者就会进入一个带有倒计时的假2FA页面，旨在增加压力。

图片来自X

MetaMask用户被骗交出恢复助记词 在假页面上，用户被要求按照看似合理的步骤操作。然而，在最后阶段，网站会要求提供恢复助记词或种子短语。这也是骗局的核心所在。MetaMask从不要求验证、更新或任何其他安全原因提供助记词。一旦输入，钱包的控制权就会立即转移。 不仅如此，资产的转移过程通常快速且悄无声息，受害者只有在余额大幅减少后才意识到问题。 有趣的是，这一策略标志着诈骗者关注点的转变。此前许多攻击依赖随机信息或表面视觉效果，而现在视觉和流程都更加逼真。 此外，心理压力已成为主要武器。威胁叙述、时间限制和专业外观结合，使MetaMask用户反应更快而非理性。 恶意合约签名实现静默资产盗窃 这一假冒2FA方案出现之际，伴随着针对EVM生态系统的其他钓鱼攻击激增。最近，数百个EVM钱包，主要是MetaMask用户，成为“强制更新”诈骗邮件的受害者。 在这些案例中，受害者未被要求提供助记词，而是被引诱签署恶意合约。每个钱包被盗金额虽不大，总计超过10.7万美元，但这种策略难以单独检测。这种模式利用签名交易的速度，而非直接盗取助记词。 另一方面，我们在12月9日报道，MetaMask通过其Rango多链路由基础设施扩展了跨链交易。最初支持EVM和Solana，现在已扩展到比特币，为用户提供更广泛的跨链操作。 几天前的12月5日，我们还强调了Polymarket直接集成到MetaMask Mobile，允许用户在不离开应用的情况下参与预测市场并赚取MetaMask奖励。 此外，在11月下旬，我们报道了MetaMask Mobile上的链上权益永续交易功能，用户可以在多种全球资产上以杠杆进行多空仓操作。