更新前需要检查的事项

链上安全研究员 ZachXBT 标记了数百个跨多个 EVM 链的钱包被盗取少量资金,通常每名受害者损失低于 2,000 美元,资金流向单一可疑地址。

盗窃总额已超过 107,000 美元并持续上升。根本原因仍然未知,但用户报告收到伪装成强制性 MetaMask 升级的钓鱼邮件,配有戴派对帽的狐狸标志和"新年快乐!"主题。

这次攻击发生在开发人员休假、支持渠道人手不足、用户浏览充满新年促销的收件箱时。

攻击者利用了这个时间窗口。每名受害者的少量损失表明,盗取者在许多情况下是通过合约批准而非完全种子短语泄露来操作的,这使个人损失保持在受害者立即发出警报的阈值以下,但允许攻击者扩展到数百个钱包。

业界仍在处理一起单独的 Trust Wallet 浏览器扩展事件,其中 Chrome 扩展 v2.68 中的恶意代码窃取了私钥,并在 Trust Wallet 修补至 v2.69 之前从 2,520 个钱包中盗取了至少 850 万美元。

两种不同的利用方式,同一个教训:用户端点仍然是最薄弱的环节。

有效钓鱼邮件的剖析

以 MetaMask 为主题的钓鱼邮件展示了这些攻击成功的原因。

发件人身份显示为"MetaLiveChain",一个听起来模糊地与 DeFi 相关但与 MetaMask 毫无关联的名称。

邮件标题包含"[email protected]"的取消订阅链接,显示攻击者从合法营销活动中盗用了模板。正文展示了戴着派对帽的 MetaMask 狐狸标志,将节日欢乐与关于"强制更新"的人为紧迫感结合在一起。

这种组合绕过了大多数用户应用于明显诈骗的启发式判断。

该钓鱼邮件冒充 MetaMask,使用戴派对帽的狐狸标志,虚假声称需要进行"强制性"2026 系统升级才能访问账户。

MetaMask 的官方安全文档制定了明确规则。支持邮件仅来自经过验证的地址,例如 [email protected],绝不会来自第三方域名。

钱包提供商不会发送未经请求的邮件要求验证或升级。

此外,任何代表都不会要求提供秘密恢复短语。然而这些邮件之所以有效,是因为它们利用了用户在理智上知道的内容与当官方外观的消息到达时他们反射性所做的事情之间的差距。

四个信号在损害发生前揭露钓鱼。

首先,品牌-发件人不匹配,来自"MetaLiveChain"的 MetaMask 品牌标识表明模板被盗。其次,围绕 MetaMask 明确表示不会发送的强制更新制造紧迫感。

第三,目标 URL 与声称的域名不匹配,点击前悬停会显示实际目标。第四,违反核心钱包规则的请求,例如要求种子短语或提示在不透明的链下消息上签名。

ZachXBT 案例展示了签名钓鱼机制。点击假升级链接的受害者可能签署了合约批准,授予盗取者移动代币的权限。

这个单一签名为跨多条链的持续盗窃打开了大门。攻击者选择每个钱包的小额金额,因为合约批准通常默认携带无限支出上限,但抽干所有资金会触发即时调查。

将盗窃分散到数百名受害者,每人 2,000 美元,在个人雷达下飞行,同时累积六位数总额。

撤销批准并缩小影响范围

一旦点击钓鱼链接或签署恶意批准,优先事项转向遏制。MetaMask 现在允许用户直接在 MetaMask Portfolio 中查看和撤销代币授权。

Revoke.cash 引导用户完成简单流程:连接您的钱包,检查每个网络的批准,并为不受信任的合约发送撤销交易。

Etherscan 的代币批准页面提供相同功能,用于手动撤销 ERC-20、ERC-721 和 ERC-1155 批准。这些工具很重要,因为快速行动的受害者可以在失去一切之前切断盗取者的访问权限。

批准泄露和种子短语泄露之间的区别决定了钱包是否可以挽救。MetaMask 的安全指南划出了明确界限:如果您怀疑秘密恢复短语已被泄露,请立即停止使用该钱包。

在新设备上创建新钱包,转移剩余资产,并将原始种子视为永久销毁。当攻击者仅持有合约权限时,撤销批准有帮助;如果您的种子丢失,则必须放弃整个钱包。

Chainalysis 记录了 2025 年约 158,000 次个人钱包泄露,影响至少 80,000 人,尽管被盗总价值降至约 7.13 亿美元。

根据 Chainalysis 数据,个人钱包损失占加密货币盗窃总额的份额从 2022 年的约 10% 攀升至 2025 年的近 25%。

攻击者以更小的金额攻击更多钱包,这是 ZachXBT 识别的模式。实际意义:组织钱包以限制影响范围与避免钓鱼同样重要。

单一泄露的钱包不应意味着投资组合全部损失。

构建纵深防御

钱包提供商已推出了如果采用将遏制此次攻击的功能。

MetaMask 现在鼓励在代币批准上设置支出上限,而不是接受默认的"无限"权限。Revoke.cash 和 De.Fi 的 Shield 仪表板倡导将批准审查作为日常卫生,同时使用硬件钱包进行长期持有。

MetaMask 默认启用来自 Blockaid 的交易安全警报,在执行签名前标记可疑合约。

Trust Wallet 扩展事件强化了纵深防御的需求。该利用绕过了用户决策,官方 Chrome 列表中的恶意代码自动窃取密钥。

将持有资产分散在硬件钱包(冷存储)、软件钱包(温交易)和燃烧钱包(实验协议)的用户限制了风险敞口。

这种三层模式会产生摩擦,但摩擦正是重点。捕获燃烧钱包的钓鱼邮件成本为数百或数千美元。对持有整个投资组合的单一钱包的相同攻击会损失改变生活的资金。

ZachXBT 盗取者成功是因为它瞄准了便利性和安全性之间的接缝。大多数用户将所有内容保存在一个 MetaMask 实例中,因为管理多个钱包感觉很麻烦。

攻击者押注新年当天一封看起来专业的邮件会让足够多的人措手不及,从而产生有利可图的规模。这个赌注得到了回报,已达 107,000 美元并持续增长。

MetaMask 的官方指南识别了三个钓鱼红旗:错误的发件人地址、未经请求的紧急升级要求,以及要求秘密恢复短语或密码。

风险所在

这一事件提出了一个更深层次的问题:在自我托管的世界中,谁承担端点安全的责任?

钱包提供商构建反钓鱼工具,研究人员发布威胁报告,监管机构警告消费者。然而攻击者只需要一封假邮件、一个克隆的标志和一个盗取合约就能泄露数百个钱包。

实现自我托管、无需许可交易、假名地址和不可逆转账的基础设施也使其变得无情。

业界将此视为教育问题:如果用户验证发件人地址、悬停链接并撤销旧批准,攻击就会失败。

然而,Chainalysis 关于 158,000 次泄露的数据表明,仅靠教育无法扩展。攻击者的适应速度快于用户的学习速度。MetaMask 钓鱼邮件从粗糙的"您的钱包已锁定!"模板演变为精美的季节性活动。

Trust Wallet 扩展利用证明,即使谨慎的用户,如果分发渠道受到威胁,也可能损失资金。

有效的方法:用于有意义持有的硬件钱包、无情的批准撤销、按风险配置文件分离钱包,以及对来自钱包提供商的任何未经请求消息的怀疑态度。

无效的方法:假设钱包界面默认安全、将批准视为一次性决策,或为了方便将所有资产整合到单一热钱包中。ZachXBT 盗取者将被关闭,因为地址已被标记,交易所将冻结存款。

但下周将推出另一个盗取者,使用略有不同的模板和新的合约
地址。

这个循环将持续下去,直到用户内化加密货币的便利性创建了最终被利用的攻击面。选择不是在安全性和可用性之间,而是在现在的摩擦和以后的损失之间。