Chrome Store 山寨 MetaMask · 7.2 万下载量假狐狸

我装了一个「MetaMask」 · 用了 16 天什么事没有

这是伦敦读者 Daniel 事后的讲述。他 2025 年 6 月入加密圈，7 月 8 日想给自己装个钱包。他打开 Chrome Web Store 搜「MetaMask」 —— 出来三个名字都叫 MetaMask 的扩展。他选了图标更新一些、评分 4.7、安装数 1 万+ 的那个。下载、安装、点开。

界面跟教程里看到的一模一样。Create new wallet、备份 12 词、设置密码 —— 全流程顺畅。他用这扩展接 Aave 看了利率、用 Uniswap 模拟了一笔 swap、绑定了一个 Discord —— 一切正常。两周内他往这个钱包里转了几次零钱测试，每一笔都正常显示、正常收发。

第 16 天 · 我转了 6 ETH 准备开始 DeFi

2025 年 7 月 24 日，Daniel 觉得自己「准备好了」，从交易所提了 6 ETH 到这个钱包，准备投 Uniswap V3 流动性。提币确认到账，他打开 Uniswap，连钱包，准备添加流动性。3 小时后他刷新页面，钱包余额从 6 ETH 变成 0.012 ETH。他没签过任何东西、没批准过任何授权。

他第一反应是 Uniswap 自己出了问题。在区块浏览器查交易历史，发现是一笔来自他自己地址的普通 transfer，目标是个不认识的地址。他的钱包等于被人「直接控制」了。这种「不需要签名也能转账」只可能意味着一件事：私钥早就泄露了。

事后查 · 我下载的根本不是 MetaMask

Daniel 在 chrome://extensions/ 里查那个扩展的 ID，是 io.metamask-wallet.MetaMask（多了一段 -wallet）。真 MetaMask 的 ID 是 io.metamask.MetaMask，对应扩展 ID nkbihfbeogaeaoehlefnkodbefgpgknn。一字之差，一字千金。

这个山寨扩展的逻辑是：用户创建钱包的那一刻，本地的助记词在内存里被一个隐藏的 background script 加密后通过 HTTPS POST 到攻击者控制的 endpoint。攻击者拿到一批助记词后不立即动手，而是用脚本定时扫余额 —— 等到这个钱包余额到达「值得收割」的门槛才发起转账。Daniel 那 6 ETH 触发了门槛，3 小时后被横扫。

为什么「潜伏型」比「即时盗刷」更可怕

即时盗刷的好处是受害者立刻知道、能立刻报警、能立刻警告别人。潜伏型攻击受害者用了 16 天才发觉，已经无法定位是哪个环节出问题 —— 他这 16 天里访问过几百个网站、连过十几个 dApp、装过其他 7 个浏览器扩展，每一个都可能是嫌疑。Chrome 扩展开发者账号也已经被攻击者注销转移、Web Store 那个山寨扩展也被下架，平台溯源无门。

这批山寨 MetaMask 一共撞中 340 名用户，单户最大损失 9.8 万美元 —— 都是「等到余额够大才收割」的延迟攻击。Chrome Web Store 的扩展审核宽松、山寨钱包屡禁不绝，这类「潜伏型」是 2024-2025 年最阴的钱包钓鱼变种。

下次怎么辨别

硬指标只有一个：扩展 ID。chrome://extensions/ → 找到那个扩展 → 点 Details → 看 ID 字段。真 MetaMask 是 nkbihfbeogaeaoehlefnkodbefgpgknn 这一串 32 字符，全网只此一份、不可复制。任何其他 ID 的「MetaMask」一律是假，不论名字、Logo、评分、安装数多像。

更稳的做法是不从 Chrome Web Store 直接搜，而是先访问 metamask.io 官网，从官网首页的「Install」按钮跳转 Chrome Web Store —— 这条跳转链路保证你装到的是真扩展。其他钱包（Phantom、Rabby、Trust Wallet）同理：先官网再 Store。

5 条可执行的识别信号

• Chrome Web Store 同名扩展并排多个 —— 默认假定全部是假，去官网核对
• 扩展 ID 不是 nkbihfbeogaeaoehlefnkodbefgpgknn —— 装之前对一下
• 扩展要求的权限「读取你访问的所有网站数据」 —— 真 MetaMask 也要这权限，但这意味着假的也能做到一切
• MetaMask 官方下载入口只有 metamask.io —— 从那里跳转 Web Store
• 扩展安装后没有「连接到 metamask.io 验证」的引导 —— 真 MetaMask 首次安装会引导你到官网

已经装过了怎么办

卸扩展不代表安全 —— 助记词早就在攻击者手里。按《私钥泄露应急 · 五步抢救流程》全套五步走，激活一台新硬件钱包做新地址。原地址里剩下任何余额都视同已沦陷。

重装系统或至少换一个全新浏览器 profile。剪贴板劫持类扩展会在浏览器里潜伏，单卸扩展不够 —— 它可能已经写入了一个 native messaging host 或者 service worker。Daniel 最后选择把整台笔记本重装系统，因为他不能确定那个扩展还有没有更深的渗透。