据Web3安全平台Scam Sniffer最新报告,2025年针对加密货币钱包的钓鱼攻击损失金额骤降至8385万美元,相比2024年的近4.94亿美元,同比大幅下降了83%。受害者数量也锐减至106人,同比下降68%。然而,安全分析师警告,尽管数据显著改善,但攻击者并未消失,其活动与市场周期高度同步,且在技术层面持续进化,新的攻击向量已然浮现。
核心观点:市场热度与攻击损失呈正相关
报告指出,钓鱼攻击损失与市场活跃度紧密挂钩。在2025年第三季度,恰逢以太坊(ETH)迎来年内最强反弹,该季度钓鱼损失高达3100万美元,占全年总损失的近29%。月度损失则从市场活动最平静的12月的204万美元,飙升至市场高峰8月的1217万美元。“当市场活跃时,整体用户活动增加,一定比例的用户会成为受害者——钓鱼攻击就像是用户活动的概率函数。” 这表明,牛市狂欢期往往也是安全风险的高发期。
市场背景:攻击策略的“下沉”与“进化”
值得注意的是,尽管2025年单笔损失超过100万美元的大型事件从2024年的30起减少至11起,但攻击者的策略正在发生转变。他们越来越倾向于“广撒网”的低价值、高频率策略。2025年每位受害者的平均损失降至790美元,这揭示了攻击重心正从针对鲸鱼的高调盗窃,转向更广泛、以零售用户为目标的撒网式活动。
在技术层面,Permit和Permit2签名批准仍是攻击者最有效的工具。全年最大的单次钓鱼盗窃发生在9月,金额达650万美元,便涉及恶意Permit签名。在损失超过百万美元的事件中,基于Permit的攻击占比高达38%。
更值得警惕的是,随着以太坊Pectra升级,基于新标准EIP-7702的恶意签名开始出现。攻击者利用账户抽象特性,将多个有害操作捆绑在单个用户签名中。仅8月份的两起主要EIP-7702攻击事件就造成了254万美元的损失,凸显出攻击者对协议级变化的适应速度极快。
结尾预测:生态持续活跃,安全警钟长鸣
综合来看,2025年加密钓鱼损失的大幅下降无疑是积极信号,反映了行业安全意识和防护措施的提升。然而,报告结论一针见血:“钱包盗取器生态系统依然活跃——旧的盗取器退出,新的便会涌现以填补空缺。” 投资者应关注,在未来的市场反弹周期中,钓鱼攻击风险很可能随之回升。同时,随着区块链底层技术的迭代,类似EIP-7702的新型攻击向量会不断出现,这意味着安全防护必须保持动态进化,用户教育和风险意识是抵御不断变形威胁的第一道防线。市场在进步,攻击亦在升级,加密资产的安全保卫战将是一场持久战。
