MetaMask 用户遭遇紧急 2FA 网络钓鱼诈骗

• 骗子针对MetaMask 2FA，诱导用户通过假冒的安全警报输入秘密恢复短语。
• 过去的攻击造成$650K NFTs和代币的损失；保持警惕和通过官方渠道可以防止类似的漏洞。
• 专家建议使用多因素认证（MFA）、电子邮件安全系统，并验证发件人邮箱以阻止钓鱼攻击。

MetaMask，一款加密钱包，已警告用户关于其两因素认证(2FA)代码的严重钓鱼尝试。钓鱼者曾发送一条信息，要求用户在2026年1月4日前更新其两因素验证，以确保在使用钱包时不受限制。

1月5日凌晨，区块链安全专家23pds，SlowMist的合作伙伴兼首席信息安全官（CISO），在社交媒体上提醒行业。此次钓鱼企图通过诱骗用户与虚假安全页面互动，窃取助记词。

骗子创建了逼真的2FA验证界面，配有倒计时提示，催促用户输入秘密恢复短语。除了冒充MetaMask外，这些电子邮件还包含指向恶意网站的链接，模仿官方安全警报。

恶意软件研究员Tomas Meskauskas曾详细解释过此骗局，强调用户必须验证发件人邮箱地址。他警告：“用户不应盲目信任看似合法的公司发来的电子邮件。”因此，谨慎处理意外邮件对于加密安全至关重要。

以往事件与持续威胁

此次攻击是类似威胁的延续。去年，澳大利亚网络安全提供商MailGuard拦截了一封声称MetaMask账户出现异常活动的钓鱼邮件。该邮件敦促收件人在短时间内激活2FA，以避免账户暂时锁定。

MailGuard提醒：“一封巧妙措辞的电子邮件就足以让骗子窃取敏感数据或传播恶意软件。”因此，删除可疑邮件对于保护数字资产至关重要。

MetaMask也曾因钓鱼攻击遭受巨大损失。2022年的事件导致超过65万NFT和APE代币的丢失。另一方面，由ConsenSys资助的MetaMask项目明确表示，他们绝不会发送请求恢复短语、Apple和Google账户的电子邮件。他们强调激活2FA的重要性。

用户安全建议

Halborn网络安全专家敦促加密公司建立强有力的钓鱼事件应对机制。立即采取行动可以将损失降到最低，而专业的应对团队在攻击期间也能降低风险。

此外，激活多因素认证(MFA)并使用电子邮件安全系统，有助于阻止钓鱼尝试。MetaMask支持团队强调：“公司绝不会发送随机确认邮件或请求秘密恢复短语。”