MetaMask出现新型2FA安全验证钓鱼骗局，用户需提高警觉

区块链资安公司慢雾科技（SlowMist）资安长张连锋（@im23pds）在社群平台X 上发布一系列贴文，揭露一项针对MetaMask钱包的新型钓鱼攻击。

该**会向用户发送电子邮件，并以「2FA 安全验证」为幌子，诱导用户输入钱包助记词（seed phrase），可能导致资产被盗。张连锋呼吁MetaMask 用户及加密货币社群注意防范。

据张连锋描述，骗子使用与官方域名高度相似的假域名，例如将「metamask」改为「mertamask」，来伪装成MetaMask官方网站。用户若点击可疑连结，会被引导至一个看似正规的页面，显示安全提醒，并逐步进入「2FA 验证」流程。

整个过程设计得相当逼真，包括倒计时提醒和安全提示，以增加用户的信任感。在**的**阶段，用户被要求输入12字助记词，页面甚至内建验证机制，显示「无效校验和（invalid checksum）」的错误讯息，试图让用户相信这是合法的验证步骤。张连锋在贴文中嘲讽道：「骗子居然还写了验证真实性？」，并附上多张截图展示整个流程。

这类钓鱼攻击旨在利用那些对加密货币不熟悉的用户，诱骗他们主动交出能够控制加密资产的私钥或助记词。实际上MetaMask官方从未要求用户在验证过程中输入助记词。用户应避免点击不明来源的连结，并直接透过官方渠道（如metamask.io）存取钱包。

根据Scam Sniffer 此前发布的2025 年度报告显示，加密货币钓鱼攻击造成的损失从2024 年的4.94 亿美元下降83% 至8385 万美元，受害者人数下降68%。但随着AI 技术的普及，钓鱼手法可能也会随之进化，用户仍需保持谨惕。