區塊鏈資安公司慢霧科技（SlowMist）資安長張連鋒（@im23pds）在社群平台X 上發布一系列貼文，揭露一項針對MetaMask錢包的新型釣魚攻擊。

該騙局會向用戶發送電子郵件，並以「2FA 安全驗證」為幌子，誘導用戶輸入錢包助記詞（seed phrase），可能導致資產被盜。張連鋒呼籲 MetaMask 用戶及加密貨幣社群注意防範。

據張連鋒描述，騙子使用與官方域名高度相似的假域名，例如將「metamask」改為「mertamask」，來偽裝成MetaMask官方網站。用戶若點擊可疑連結，會被引導至一個看似正規的頁面，顯示安全提醒，並逐步進入「2FA 驗證」流程。

整個過程設計得相當逼真，包括倒計時提醒和安全提示，以增加用戶的信任感。在騙局的最後階段，用戶被要求輸入12字助記詞，頁面甚至內建驗證機制，顯示「無效校驗和（invalid checksum）」的錯誤訊息，試圖讓用戶相信這是合法的驗證步驟。張連鋒在貼文中嘲諷道：「騙子居然還写了驗證真實性？」，並附上多張截圖展示整個流程。

這類釣魚攻擊旨在利用那些對加密貨幣不熟悉的用戶，誘騙他們主動交出能夠控制加密資產的私鑰或助記詞。實際上MetaMask官方從未要求用戶在驗證過程中輸入助記詞。用戶應避免點擊不明來源的連結，並直接透過官方渠道（如metamask.io）存取錢包。

根據 Scam Sniffer 此前發佈的2025 年度報告顯示，加密貨幣釣魚攻擊造成的損失從2024 年的4.94 億美元下降83% 至8385 萬美元，受害者人數下降 68%。但隨著 AI 技術的普及，釣魚手法可能也會隨之進化，用戶仍需保持謹惕。