加密货币投资者近期遭遇一轮新的网络钓鱼攻击。区块链安全公司 SlowMist 表示，攻击者正冒充去中心化钱包 MetaMask 的安全验证流程，诱导用户泄露钱包助记词。

据介绍，此类攻击通常以“双重身份验证（2FA）安全检查”为名，通过伪造的安全警告，将用户重定向至与 MetaMask 相似的欺诈域名。在该页面中，用户被要求在限定时间内完成所谓的 2FA 启用流程，否则可能失去对部分关键钱包功能的访问权限。

SlowMist 首席安全官 23pds 在周一于社交平台 X 上发文称，一旦用户在上述页面中输入并提交钱包助记词，钱包中的资金将被转移。相关页面的最后一步往往要求用户填写 12 个助记词单词，以“完成安全设置”。

SlowMist指出，这一事件再次凸显出一个关键事实：去中心化钱包协议不会在任何场景下要求用户提供完整的秘密助记词，因为掌握助记词即可完全控制对应钱包资产。

这类加密钓鱼诈骗的典型做法，是由攻击者向受害者发送带有恶意链接的邮件或消息，引导其访问伪造网站，以窃取包括私钥、助记词在内的敏感信息。攻击者往往冒充知名品牌，以提高欺骗成功率。

尽管钓鱼攻击在加密领域已存在多年，相关数据表明，近年此类事件的总体损失有所下降。Web3 安全工具 Scam Sniffer 于周六发布的报告显示，2025 年因钓鱼诈骗造成的损失同比下降 83%，从 2024 年的 4.94 亿美元降至 8,330 万美元。

同一报告称，钓鱼诈骗受害者数量也出现明显回落：2025 年受害者人数为 10.6 万人，较 2024 年的 33.2 万人下降 68%。

不过，报告同时指出，2025 年第三季度钓鱼攻击造成的损失达到年内峰值，该季度也是市场交易最为活跃的时期。Scam Sniffer 在报告中写道，当市场活跃时，整体用户行为增加，其中一部分用户会成为受害者，“钓鱼诈骗作为用户活动的概率函数运作”。

报告还提到，钓鱼者通常选择冒充最受欢迎的品牌，以快速建立信任。MetaMask 作为全球领先的自我托管钱包之一，其母公司 Consensys 提供的数据显示，该钱包拥有超过 1 亿年活跃用户，并连接了约 244,000 个去中心化应用（dApp）。