新聞 
幣種資訊 
關於我們 
根據區塊鏈資安公司 SlowMist 於 24 日(當地時間)發布的警告報告,一種針對 MetaMask 錢包使用者的新型詐騙手法正在快速蔓延。此次攻擊假冒兩步驟驗證(2FA)流程,誘導用戶輸入錢包復原助記詞(Seed Phrase),實際上是駭客佈下的陷阱,目的是竊取用戶的資產。
SlowMist 資深安全專家「23pds」指出,駭客透過偽造 MetaMask 的登入介面吸引用戶,使用類似「mertamask」等拼字錯誤但近似的網址進行誘導,此方式屬於「釣魚攻擊」(phishing)。使用者進入假網站後,系統會顯示與官方極為類似的畫面,包括倒數計時與安全提示,營造出一種「正規」驗證機制的假象。最終階段,受害者被要求輸入錢包的復原助記詞,一旦提交,駭客即可全面掌控其資產。
根據 CryptoNews 報導,2025 年雖然整體釣魚詐騙造成的加密貨幣損失大幅減少至約 8,385 萬美元(約新台幣 121 億元),較 2024 年下降 83%,但攻擊方式反而更加隱匿與精巧。受害人數雖減少至約 10.6 萬人,但駭客策略已從大額攻擊轉為「小額分散式攻擊」,針對數百名普通用戶下手,每位受害者平均損失金額約為 790 美元(約新台幣 1.1 萬元),多數受害者損失未超過 2,000 美元(約新台幣 2.8 萬元)。
例如,在 9 月發生的釣魚事件中,駭客利用以太坊上的「 Permit」與「 Permit2」簽章授權方式,偽造持幣人簽名,造成約 650 萬美元(約新台幣 94 億元)損失。此類無需額外交易就可授予第三方控制權限的技術,被駭客廣泛用於詐騙中。另一起事件中,有駭客濫用了與以太坊升級「Pectra」相關的 EIP-7702 技術,在用戶不知情下執行多個惡意操作,僅 8 月份就造成 254 萬美元(約新台幣 3.7 億元)損失。
此外,攻擊者還開始運用更進階的手段進行「社會工程」型攻擊,例如假冒項目創辦人進行 Zoom 視訊會議,在真實時間中要求下載惡意程式。今年 4 月即傳出 Manta Network 共同創辦人 Kenny Li 被冒充疑似由 Lazarus(拉撒路)駭客組織操控,用於攻擊開發者。
為了因應激增的詐騙攻擊,MetaMask、Phantom、WalletConnect 和 Backpack 等主流錢包服務近期共同啟動一項名為「全球釣魚防衛網絡」的合作計畫,並與資安聯盟 SEAL(Security Alliance)合作,希望透過即時分享釣魚網站資料,強化防備。
MetaMask 資安負責人 Ohm Shah 表示,「Drainer 攻擊者與資安防線之間是一場持續的拉鋸戰。SEAL 的即時通報系統讓錢包服務能搶在資產損失前進行阻止。」他進一步指出,該系統只會針對實際含詐騙內容的網站進行過濾與警示,避免誤傷合法服務。
評論:雖然從總體數據來看,加密貨幣安全事故數量逐年下降,但這並不代表風險已遠離。駭客僅是轉變策略,逐步鎖定大量普通用戶,而不再集中火力於單一「巨鯨」錢包。分散式詐騙手法搭配情境演出與技術障眼法,逐漸使防禦成為一場「意志力對決」,加密社群需加強教育與警覺。
在這場貓捉老鼠的資安戰中,個人使用者該如何自保?專家提醒幾項重點:
- 絕對不要於任何網站頁面輸入「復原助記詞」
- 仔細核對網址拼寫、避免誤入釣魚網站
- 僅透過官方管道進行錢包安裝與操作
- 下載防釣魚瀏覽器擴充功能,強化風險攔截
- 定期關注文獻與攻擊手法更新,防範最新詐騙形式
在去中心化日益普及的今日,個人錢包成了用戶最重要的資產堡壘,操作習慣與安全教育將直接決定資產的存亡。未來,資安不再只是技術問題,更是使用者心理素養的試煉。
關鍵詞:MetaMask、復原助記詞、防釣魚、安全防衛網、加密貨幣詐騙、社會工程攻擊、Permit2、Drainer、SlowMist
留言 0