新聞 
幣種資訊 
關於我們 
近期上百個以太坊虛擬機(EVM)兼容錢包遭到自動化攻擊,儘管單筆損失並不高,累計卻已超過10.7萬美元,引起區塊鏈資安圈警惕。根據鏈上分析師 ZachXBT 的說法,這些攻擊並非集中於單一公鏈,而是橫跨多條 EVM 鏈廣泛展開,平均每個錢包損失金額大多低於2,000美元。攻擊者似乎鎖定低額資產的個人錢包進行「小額大量盜取」,展現出高度組織化的行為模式。
根據 Hackless 安全團隊的分析,此輪攻擊極可能是透過假冒 MetaMask 的釣魚郵件來展開,自動腳本則負責掃描與入侵流程。資安研究員 Vladimir S 指出,用戶須提防偽造的品牌郵件,這些郵件多以「智能合約授權」或「擴充套件下載」為名要求操作,一旦點擊,便可能導致資產遭竊。社群上已有多張該類郵件截圖流出,顯示攻擊範圍已形成廣域性擴散趨勢。
值得注意的是,此攻擊手法與 2025 年耶誕節前後發生的 Trust Wallet 錢包事件高度類似。當時近 2,600 個錢包遭到滲透,總損失高達 700 萬美元。事後調查發現,一個名為「SHA1-Hulud」的供應鏈漏洞攻擊利用 NPM 上的惡意套件入侵,背後與開發者 GitHub 憑證外洩有關。幣安共同創辦人趙長鵬曾指出,該攻擊可能牽涉內部人員或對錢包架構的深入理解,其中行為手法與 EVM 錢包釣魚案如出一轍。
雖然目前尚無實際證據證明這兩個事件直接相關,但兩者皆涉及假冒品牌、釣魚信件與瀏覽器擴充功能的手法,顯示這類攻擊向用戶端擴散的趨勢愈發明顯。
根據資安公司 PeckShield 的統計,2025 年 12 月整體加密貨幣金融詐騙與駭客攻擊總金額為 7,600 萬美元,較前月大幅降低 60%。其中最嚴重的個案為一起「地址毒化攻擊(Address Poisoning)」案件,單一受害者損失便達 5,000 萬美元。該手法透過偽裝成相似地址進行小額轉帳,使用戶不慎將資產轉入錯誤錢包。
另一起引人注目的案件,則是美國司法部於上月起訴居住在布魯克林的 23 歲男子 Ronald Spector,他透過社交工程與釣魚手法騙取 100 多名 Coinbase 用戶,總詐騙金額約 1,600 萬美元。
評論: 雖然整體損失規模趨緩,但這起 EVM 錢包盜竊案例指出了資安威脅的轉型趨勢——從單點高價攻擊,轉向難以探測、自動化的廣域滲透。加密貨幣用戶應更積極管理授權記錄、避免透過未知連結下載擴充功能,並考慮改用硬體錢包以提高資產防護。
關鍵詞:EVM 錢包、自動化攻擊、釣魚、MetaMask、資安、Trust Wallet、瀏覽器擴充、地址毒化、智能合約授權、硬體錢包
留言 0