MetaMask 用戶成為緊急 2FA 網絡釣魚詐騙的目標

• 骗子針對 MetaMask 2FA，透過假冒的安全警示騙取用戶輸入秘密恢復短語。
• 過去的攻擊造成 $650K NFTs 和代幣的損失；提高警覺和透過官方渠道可防止類似的入侵。
• 專家建議使用 MFA、電子郵件安全系統，並驗證寄件人電子郵件以阻擋釣魚攻擊。

MetaMask，一個加密錢包，已警告用戶有關其兩步驗證 (2FA) 代碼的嚴重釣魚攻擊。釣魚者曾寄出訊息，要求用戶在2026年1月4日前更新兩步驗證，以確保在使用錢包時不受限制。

1月5日清晨，區塊鏈安全專家23pds，SlowMist的合作夥伴兼CISO，在社交媒體上提醒業界。這次釣魚企圖旨在透過誘騙用戶與假冒的安全頁面互動來竊取助記詞。

騙子建立了逼真的2FA驗證介面，配有倒數提示，催促用戶輸入秘密恢復短語。除了冒充MetaMask外，這些電子郵件還包含指向惡意網站的連結，模仿官方安全警示。

資安研究員Tomas Meskauskas曾詳細解釋此詐騙，強調用戶必須驗證寄件人電子郵件地址。他警告：“用戶不應盲目相信看似合法公司的電子郵件。”因此，謹慎處理突如其來的電子郵件對於加密安全至關重要。

過去事件與持續威脅

此攻擊事件延續了類似威脅的歷史。去年，澳洲網路安全公司MailGuard阻擋了一封聲稱MetaMask帳戶出現異常活動的釣魚電子郵件。該郵件敦促收件人立即啟用2FA，以避免帳戶暫時鎖定。

MailGuard提醒：“一封巧妙措辭的電子郵件就足以讓騙子竊取敏感資料或散布惡意軟體。”因此，刪除可疑電子郵件是保護數位資產的關鍵。

MetaMask也曾因釣魚攻擊遭受重大損失。2022年的事件導致超過65萬個NFT和APE代幣的損失。另一方面，獲得ConsenSys資助的MetaMask明確表示，他們絕不會發送要求提供恢復短語、Apple或Google帳戶的電子郵件。他們強調啟用2FA的重要性。

用戶安全建議

Halborn資安專家敦促加密公司建立強健的釣魚事件應對措施。立即採取行動可以將損害降到最低，而專業的應對團隊則能在攻擊期間降低風險。

此外，啟用多重驗證 (MFA) 和使用電子郵件安全系統有助於阻擋釣魚攻擊。MetaMask支援團隊強調：“公司絕不會發送隨機確認電子郵件或要求提供秘密恢復短語。”