更新前的檢查事項

鏈上安全研究員 ZachXBT 標記了數百個跨多條 EVM 鏈的錢包被小額盜取,每位受害者通常損失不到 2,000 美元,資金流向單一可疑地址。

盜竊總額已突破 107,000 美元並持續上升。根本原因仍不明,但用戶報告收到偽裝成強制性 MetaMask 升級的釣魚郵件,內含戴派對帽的狐狸標誌和「新年快樂!」主旨。

這次攻擊發生在開發人員休假、支援管道人手不足,以及用戶正在瀏覽充斥新年促銷郵件的收件箱時。

攻擊者利用了這個時機。每位受害者的小額損失顯示,盜竊者在許多情況下是透過合約授權而非完整助記詞洩露來操作,這使個別損失低於受害者立即發出警報的門檻,但允許攻擊者擴展到數百個錢包。

該行業仍在處理另一起 Trust Wallet 瀏覽器擴充套件事件,其中 Chrome 擴充套件 v2.68 中的惡意程式碼竊取了私鑰,在 Trust Wallet 修補至 v2.69 之前從 2,520 個錢包中盜走了至少 850 萬美元。

兩種不同的漏洞利用,同樣的教訓:用戶端點仍然是最薄弱的環節。

有效釣魚郵件的剖析

MetaMask 主題的釣魚郵件展示了這些攻擊為何成功。

寄件者身分顯示為「MetaLiveChain」,這個名稱聽起來與 DeFi 有些關聯,但與 MetaMask 沒有任何關係。

郵件標頭包含「[email protected]」的取消訂閱連結,顯示攻擊者從合法行銷活動中竊取了範本。正文展示戴著派對帽的 MetaMask 狐狸標誌,將節慶氣氛與關於「強制性更新」的製造緊迫感結合。

這種組合繞過了大多數用戶用來識別明顯詐騙的啟發式方法。

釣魚郵件假冒 MetaMask,使用戴派對帽的狐狸標誌,虛假聲稱需要「強制性」2026 系統升級才能存取帳戶。

MetaMask 的官方安全文件建立了明確規則。支援郵件僅來自經驗證的地址,例如 [email protected],絕不會來自第三方網域。

錢包供應商不會發送未經請求要求驗證或升級的郵件。

此外,任何代表都不會要求提供秘密恢復助記詞。然而這些郵件之所以有效,是因為它們利用了用戶理智上知道的事情與收到看似官方訊息時反射性行為之間的差距。

四個信號在造成損害前揭露釣魚。

首先,品牌與寄件者不符,來自「MetaLiveChain」的 MetaMask 品牌標誌顯示範本盜竊。其次,圍繞強制性更新製造的緊迫感,而 MetaMask 明確表示不會發送此類郵件。

第三,目標 URL 與聲稱的網域不符,點擊前懸停會顯示實際目標。第四,違反核心錢包規則的請求,例如要求助記詞或提示簽署不透明的鏈下訊息。

ZachXBT 案例展示了簽名釣魚機制。點擊虛假升級連結的受害者可能簽署了合約授權,授予盜竊者移動代幣的權限。

那個單一簽名為跨多條鏈的持續盜竊打開了大門。攻擊者選擇小額每錢包金額,因為合約授權預設通常帶有無限支出上限,但盜走所有資金會立即觸發調查。

將盜竊分散到數百名受害者,每人 2,000 美元,可以躲過個人雷達,同時累積六位數總額。

撤銷授權並縮小爆炸半徑

一旦點擊了釣魚連結或簽署了惡意授權,優先事項轉向遏制。MetaMask 現在允許用戶直接在 MetaMask Portfolio 中查看和撤銷代幣額度。

Revoke.cash 引導用戶完成簡單流程:連接錢包、檢查每個網路的授權,並為不受信任的合約發送撤銷交易。

Etherscan 的代幣授權頁面提供相同功能,用於手動撤銷 ERC-20、ERC-721 和 ERC-1155 授權。這些工具很重要,因為快速行動的受害者可以在失去一切之前切斷盜竊者的存取權限。

授權洩露與助記詞洩露之間的區別決定了錢包是否可以挽救。MetaMask 的安全指南劃出了一條硬線:如果您懷疑秘密恢復助記詞已被洩露,請立即停止使用該錢包。

在新設備上創建新錢包,轉移剩餘資產,並將原始助記詞視為永久銷毀。當攻擊者僅持有合約權限時,撤銷授權有幫助;如果您的助記詞洩露了,整個錢包必須被放棄。

Chainalysis 記錄了 2025 年大約 158,000 個個人錢包洩露事件,影響至少 80,000 人,儘管被盜總價值降低到約 7.13 億美元。

根據 Chainalysis 數據,個人錢包損失佔加密貨幣盜竊總額的比例從 2022 年的約 10% 攀升到 2025 年的近 25%。

攻擊者以較小金額攻擊更多錢包,這是 ZachXBT 識別出的模式。實際意義:組織錢包以限制爆炸半徑與避免釣魚同樣重要。

單一錢包洩露不應意味著整個投資組合損失。

建立縱深防禦

錢包供應商已推出若採用可遏制此攻擊的功能。

MetaMask 現在鼓勵在代幣授權上設定支出上限,而非接受預設的「無限」權限。Revoke.cash 和 De.Fi 的 Shield 儀表板倡導將授權審查視為例行衛生習慣,並使用硬體錢包進行長期持有。

MetaMask 預設啟用來自 Blockaid 的交易安全警報,在執行簽名前標記可疑合約。

Trust Wallet 擴充套件事件強化了縱深防禦的必要性。該漏洞繞過了用戶決策,官方 Chrome 列表中的惡意程式碼自動收集密鑰。

將持有分散到硬體錢包(冷儲存)、軟體錢包(溫交易)和燃燒錢包(實驗性協議)的用戶限制了暴露。

這種三層模型產生摩擦,但摩擦正是重點。捕獲燃燒錢包的釣魚郵件成本是數百或數千美元。同樣的攻擊針對持有整個投資組合的單一錢包會造成改變人生的金錢損失。

ZachXBT 盜竊者之所以成功,是因為它針對了便利性與安全性之間的接縫。大多數用戶將所有內容保留在一個 MetaMask 實例中,因為管理多個錢包感覺繁瑣。

攻擊者押注於新年第一天的專業外觀郵件會讓足夠多的人措手不及,從而產生有利可圖的交易量。這個賭注得到了回報,金額達到 107,000 美元並持續增加。

MetaMask 的官方指南識別三個釣魚危險信號:錯誤的寄件者地址、未經請求的緊急升級要求,以及請求秘密恢復助記詞或密碼。

利害關係

這起事件提出了一個更深層的問題:在自我託管的世界中,誰應對端點安全負責?

錢包供應商建立反釣魚工具,研究人員發布威脅報告,監管機構警告消費者。然而攻擊者只需要一封虛假郵件、一個克隆標誌和一個盜竊合約就能洩露數百個錢包。

實現自我託管、無需許可交易、匿名地址和不可逆轉轉帳的基礎設施也使其無情。

該行業將此視為教育問題:如果用戶驗證寄件者地址、懸停連結並撤銷舊授權,攻擊就會失敗。

然而,Chainalysis 關於 158,000 次洩露的數據顯示,僅靠教育無法擴展。攻擊者的適應速度快於用戶學習速度。MetaMask 釣魚郵件從粗糙的「您的錢包已鎖定!」範本演變為精緻的季節性活動。

Trust Wallet 擴充套件漏洞證明,即使謹慎的用戶,如果分發管道遭到洩露也可能損失資金。

有效的方法:用硬體錢包存放有意義的持有、無情地撤銷授權、按風險概況隔離錢包,以及對來自錢包供應商的任何未經請求訊息保持懷疑。

無效的方法:假設錢包介面預設安全、將授權視為一次性決策,或為了方便將所有資產整合在單一熱錢包中。ZachXBT 盜竊者將被關閉,因為該地址已被標記,交易所將凍結存款。

但下週將啟動另一個盜竊者,使用略有不同的範本和新的合約
地址。

這個循環將持續下去,直到用戶內化加密貨幣的便利性創造了最終會被利用的攻擊面。選擇不是在安全性和可用性之間,而是在現在的摩擦和以後的損失之間。