在加密货币市场市值屡创新高的2025年,一个看似矛盾的数据引发了行业深度思考:据Web3安全平台Scam Sniffer最新报告,与钱包窃取器(Wallet Drainer)相关的加密钓鱼攻击总损失额骤降至8385万美元,较2024年的近4.94亿美元暴跌83%。然而,安全研究人员的警告为这份“成绩单”蒙上了一层阴影:攻击活动并未消失,而是随着市场行情起伏,并不断演化出新的攻击向量。
核心数据揭示结构性变化
报告基于对以太坊虚拟机(EVM)链上签名钓鱼的分析指出,2025年钓鱼攻击受害者数量也大幅下降至106人,同比减少68%。值得注意的是,大规模单笔损失事件明显减少,损失超过100万美元的事件从2024年的30起降至2025年的11起。与此同时,单名受害者的平均损失降至790美元,这表明攻击者的策略正从“鲸鱼狩猎”转向针对更广泛零售用户的、单笔金额更低但攻击量更大的模式。
市场周期与攻击活动的强关联性
分析师指出,钓鱼损失与市场活跃度呈现高度正相关。报告强调,“当市场活跃时,整体用户活动增加,一定比例的用户会成为受害者——钓鱼攻击作为一种用户活动的概率函数而存在。”数据印证了这一观点:在2025年第三季度,伴随以太坊(ETH)迎来年度最强上涨行情,该季度钓鱼损失高达3100万美元,占全年损失的近29%。月度损失则从市场最平静的12月的204万美元,飙升至市场活动高峰8月的1217万美元。
攻击技术持续迭代,新威胁浮现
尽管总量下降,但攻击技术并未停滞。2025年最大的单次钓鱼盗窃事件发生在9月,损失达650万美元,涉及恶意Permit签名。总体而言,在损失超百万美元的事件中,基于Permit和Permit2授权的攻击占比高达38%。更值得投资者关注的是,随着以太坊Pectra升级,基于EIP-7702的新型恶意签名攻击开始出现。攻击者利用账户抽象功能,将多个恶意操作捆绑进单个用户签名中。仅在8月,两起主要的EIP-7702攻击案例就造成了254万美元的损失,凸显攻击者适应协议层变化的速度之快。
结尾预测:持久战与常态化防御
报告最终总结道:“窃取器生态系统依然活跃——旧的窃取器退出,新的窃取器便会涌现以填补空白。”这一判断揭示了加密安全领域的本质:这是一场攻防双方持续进化的持久战。随着市场进入新的周期,攻击活动必将随之波动。对于项目和普通用户而言,绝不能因年度损失数据的下降而放松警惕。建立常态化的安全意识和防御机制,审慎对待每一笔交易签名,特别是新型智能合约交互,将是应对不断演变的钓鱼威胁的基石。安全生态的进步降低了大规模损失的概率,但个体风险依然无处不在。
