数百个MetaMask钱包被盗：在您"更新"之前需要检查的事项

链上安全研究员ZachXBT标记了数百个跨多个EVM链的钱包被盗取小额资金,通常每个受害者损失不到2,000美元,资金流入单一可疑地址。

盗窃总额已超过107,000美元并持续上升。根本原因仍然未知,但用户报告收到一封伪装成强制性MetaMask升级的钓鱼邮件,配有戴派对帽的狐狸标志和"新年快乐!"的主题行。

这次攻击发生在开发人员度假、支持渠道人手不足、用户浏览充斥新年促销信息的收件箱时。

攻击者利用了这个时间窗口。每个受害者的小额损失表明,在许多情况下,盗币者是通过合约授权而非完全窃取助记词来运作的,这使得个人损失保持在受害者立即发出警报的阈值之下,但允许攻击者扩展到数百个钱包。

业界仍在处理另一起Trust Wallet浏览器扩展事件,其中Chrome扩展v2.68中的恶意代码收集私钥并从2,520个钱包中盗取至少850万美元,之后Trust Wallet修补到v2.69版本。

两个不同的漏洞,同一个教训:用户端点仍然是最薄弱的环节。

有效钓鱼邮件的剖析

MetaMask主题的钓鱼邮件展示了这些攻击为何成功。

发件人身份显示"MetaLiveChain",这个名字听起来与DeFi相关,但与MetaMask没有任何联系。

邮件标题包含"[email protected]"的取消订阅链接,揭示攻击者从合法营销活动中窃取了模板。正文展示了戴派对帽的MetaMask狐狸标志,将节日气氛与关于"强制更新"的人为紧迫感结合在一起。

这种组合绕过了大多数用户对明显诈骗采用的启发式判断。

钓鱼邮件冒充MetaMask,使用戴派对帽的狐狸标志,谎称需要"强制"进行2026系统升级才能访问账户。

MetaMask的官方安全文档建立了明确规则。支持邮件仅来自已验证的地址,如[email protected],绝不来自第三方域名。

钱包提供商不会发送未经请求的邮件要求验证或升级。

此外,没有代表会要求提供秘密恢复短语。然而这些邮件之所以有效,是因为它们利用了用户在智力上知道的和在收到看似官方的信息时反射性做出的行为之间的差距。

四个信号在损害发生前暴露钓鱼。

首先,品牌-发件人不匹配,来自"MetaLiveChain"的MetaMask品牌标识表明模板被盗。其次,围绕MetaMask明确表示不会发送的强制更新制造紧迫感。

第三,目标URL与声称的域名不匹配,点击前悬停会显示实际目标。第四,违反核心钱包规则的请求,如要求提供助记词或提示在不透明的链外消息上签名。

ZachXBT案例展示了签名钓鱼机制。点击虚假升级链接的受害者可能签署了合约授权,授予盗币者转移代币的权限。

那一个签名为跨多个链的持续盗窃打开了大门。攻击者选择每个钱包的小额金额,因为合约授权默认通常具有无限支出上限,但盗取所有资金会立即引发调查。

将盗窃分散到数百个受害者,每人2,000美元,可以避开个人雷达,同时累积六位数总额。

撤销授权和缩小影响范围

一旦点击钓鱼链接或签署恶意授权,优先事项转向遏制。MetaMask现在允许用户直接在MetaMask Portfolio中查看和撤销代币授权。

Revoke.cash引导用户完成简单流程:连接钱包,检查每个网络的授权,并为不受信任的合约发送撤销交易。

Etherscan的代币授权页面提供相同功能,用于手动撤销ERC-20、ERC-721和ERC-1155授权。这些工具很重要,因为快速行动的受害者可以在损失一切之前切断盗币者的访问权限。

授权泄露和助记词泄露之间的区别决定了钱包是否可以挽救。MetaMask的安全指南划了一条硬线:如果您怀疑秘密恢复短语已被泄露,请立即停止使用该钱包。

在新设备上创建新钱包,转移剩余资产,并将原始助记词视为永久作废。当攻击者只持有合约权限时,撤销授权有帮助;如果您的助记词丢失,整个钱包必须放弃。

Chainalysis记录了2025年约158,000次个人钱包泄露,影响至少80,000人,尽管被盗总价值降至约7.13亿美元。

根据Chainalysis数据,个人钱包损失占加密货币总盗窃的份额从2022年的约10%攀升至2025年的近25%。

攻击者以更小的金额攻击更多钱包,这是ZachXBT识别的模式。实际影响:组织钱包以限制影响范围与避免钓鱼同样重要。

单个被泄露的钱包不应意味着整个投资组合损失。

建立纵深防御

钱包提供商已推出如果采用就能遏制此次攻击的功能。

MetaMask现在鼓励在代币授权上设置支出上限,而不是接受默认的"无限"权限。Revoke.cash和De.Fi的Shield仪表板提倡将授权审查作为日常卫生习惯,同时使用硬件钱包进行长期持有。

MetaMask默认启用来自Blockaid的交易安全警报,在签名执行前标记可疑合约。

Trust Wallet扩展事件强化了纵深防御的需求。该漏洞绕过了用户决策,官方Chrome列表中的恶意代码自动收集密钥。

将持有资产分散到硬件钱包(冷存储)、软件钱包(温交易)和临时钱包(实验性协议)的用户限制了暴露。

这种三层模型会产生摩擦,但摩擦正是重点。捕获临时钱包的钓鱼邮件成本为数百或数千美元。针对持有整个投资组合的单一钱包的相同攻击会造成改变生活的损失。

ZachXBT盗币者成功是因为它针对了便利性和安全性之间的缝隙。大多数用户将所有东西保存在一个MetaMask实例中,因为管理多个钱包感觉很麻烦。

攻击者打赌新年第一天的专业外观邮件会让足够多的人措手不及,从而产生有利可图的交易量。这个赌注成功了,金额达到107,000美元并在继续增加。

MetaMask的官方指南识别出三个钓鱼危险信号:错误的发件人地址、未经请求的紧急升级要求,以及要求提供秘密恢复短语或密码。

利害攸关

这一事件提出了一个更深层次的问题:在自我托管的世界中,谁应对端点安全负责?

钱包提供商构建反钓鱼工具,研究人员发布威胁报告,监管机构警告消费者。然而攻击者只需要一封虚假邮件、一个克隆标志和一个盗币合约就能泄露数百个钱包。

使自我托管、无需许可交易、假名地址和不可逆转账成为可能的基础设施也使其无情。

业界将此视为教育问题:如果用户验证发件人地址、悬停在链接上并撤销旧授权,攻击就会失败。

然而,Chainalysis关于158,000次泄露的数据表明仅靠教育无法扩展。攻击者的适应速度快于用户学习速度。MetaMask钓鱼邮件从粗糙的"您的钱包已锁定!"模板演变为精致的季节性活动。

Trust Wallet扩展漏洞证明,即使是谨慎的用户,如果分发渠道被泄露,也可能损失资金。

有效的方法:用于重要持有资产的硬件钱包、无情的授权撤销、按风险概况隔离钱包,以及对钱包提供商发送的任何未经请求的消息保持怀疑。

无效的方法:假设钱包界面默认是安全的、将授权视为一次性决策,或为了方便将所有资产整合到单一热钱包中。ZachXBT盗币者将被关闭,因为地址已被标记,交易所将冻结存款。

但下周将启动另一个盗币者,使用略有不同的模板和新的合约地址。

这个循环将持续下去,直到用户内化加密货币的便利性会创造一个最终被利用的攻击面。选择不是在安全性和可用性之间,而是在现在的摩擦和以后的损失之间。

《数百个MetaMask钱包被盗:在"更新"之前应检查什么》一文首次发表于CryptoSlate。