2025年,加密货币钓鱼攻击造成的损失戏剧性暴跌83%,总额降至8385万美元。然而,在一片向好的数据背后,安全分析师却发出了截然不同的警告:盗取者生态依然活跃,攻击策略正随着市场热点与协议升级而快速演变。投资者在欢呼市场回暖的同时,绝不能对安全威胁掉以轻心。
据Web3安全平台Scam Sniffer发布的最新报告显示,2025年与钱包盗取器相关的钓鱼攻击总损失为8385万美元,较2024年的近4.94亿美元大幅下降83%。受害者数量也显著减少至106人,同比下降68%。值得注意的是,尽管数据大幅下滑,但钓鱼活动并未消失,其损失额与市场周期呈现出高度正相关。报告指出,在链上活动频繁、市场行情高涨时,钓鱼损失也随之上升。
市场背景分析显示,2025年第三季度,伴随以太坊(ETH)迎来年内最强反弹,钓鱼损失也达到峰值3100万美元,占全年总损失的近29%。月度损失则从市场最平静的12月的204万美元,波动至市场活动高峰8月的1217万美元。分析师指出,“当市场活跃时,整体用户活动增加,总有一定比例的用户会成为受害者——钓鱼攻击就像是用户活跃度的概率函数。”这揭示了安全风险与市场情绪的深层绑定。
在攻击手法上,基于Permit和Permit2签名的恶意授权依然是攻击者的“利器”。全年最大的单次钓鱼盗窃发生在9月,金额达650万美元,便涉及恶意Permit签名。在损失超过100万美元的事件中,基于Permit的攻击占比高达38%。更值得投资者关注的是,新的攻击向量已经出现。在以太坊Pectra升级后不久,基于EIP-7702的恶意签名开始涌现,攻击者利用账户抽象功能,将多个有害操作捆绑进单个用户签名中。仅8月份的两起主要EIP-7702案例就造成了254万美元的损失,凸显攻击者对协议级变化的适应速度。
此外,攻击策略正在发生微妙转变。2025年损失超过100万美元的大规模事件仅有11起,远低于2024年的30起。然而,报告强调,攻击者越来越倾向于“低单值、高数量”的策略。每位受害者的平均损失降至790美元,这表明攻击重点正在转向范围更广、针对零售用户的活动,而非孤立的、高关注度的巨额盗窃。“盗取者生态依然活跃——旧的盗取者退出,新的便会涌现来填补空白。”
展望未来,尽管年度数据显著改善,但加密货币安全形势依然复杂。攻击活动持续存在,且攻击媒介随技术创新不断进化。投资者在参与市场时,必须对签名授权保持高度警惕,并密切关注协议升级可能带来的新型风险。市场复苏的浪潮中,潜藏的安全暗流不容忽视,唯有保持审慎,方能行稳致远。
