导语:据Web3安全平台Scam Sniffer最新报告,2025年与钱包盗取器相关的加密钓鱼攻击总损失骤降至8385万美元,较2024年的近4.94亿美元暴跌83%。然而,分析师指出,这绝不意味着威胁的消失。市场活跃度与攻击频率呈现强关联,且新型攻击向量已随以太坊升级悄然涌现,安全警钟仍需长鸣。
核心数据揭示的“降温”假象
报告数据显示,2025年钓鱼攻击受害者数量显著下降至106人,同比减少68%。值得注意的是,单笔损失超过100万美元的大规模事件从2024年的30起锐减至11起。然而,平均每位受害者的损失降至790美元,这暗示攻击策略正从针对“鲸鱼”的高价值盗窃,转向范围更广、以零售用户为目标的“薄利多销”模式。
市场周期:加密钓鱼的“晴雨表”
安全研究人员警告,钓鱼活动并未消失,其损失规模与市场周期紧密联动。在链上活动频繁、市场情绪高涨时期,损失随之攀升。例如,2025年第三季度,伴随以太坊(ETH)迎来年度最强反弹,钓鱼损失也达到3100万美元的峰值,占全年总损失的近29%。月度损失从市场最平静的12月的204万美元,到市场活动高峰8月的1217万美元,波动剧烈。“当市场活跃时,整体用户活动增加,一定比例的用户会成为受害者——钓鱼攻击就像是用户活动量的概率函数。” 投资者应关注,牛市狂欢往往也是安全事件的高发期。
攻击向量进化:Permit签名主导,EIP-7702成新威胁
在具体攻击手法上,基于Permit和Permit2签名的恶意授权仍是攻击者最有效的工具。全年最大的单次钓鱼盗窃发生在9月,损失达650万美元,正是利用了恶意Permit签名。在损失超百万美元的事件中,基于Permit的攻击占比高达38%。更值得警惕的是,2025年出现了全新的攻击向量。 在以太坊Pectra升级后不久,基于EIP-7702的恶意签名开始出现,攻击者得以利用账户抽象特性,将多个有害操作捆绑在单个用户签名中。仅8月份的两起重大EIP-7702攻击案件就造成了254万美元的损失,凸显攻击者适应协议级变化的速度之快。
结尾预测:生态持续活跃,安全防御需“动态升级”
报告最终总结道:“盗取器生态系统依然活跃——旧的盗取器退出,新的便会涌现以填补空白。” 尽管全年黑客攻击与安全漏洞造成的加密相关损失在12月降至约7600万美元,较11月的1.942亿美元下降60%,但攻击活动依然持续。展望未来,随着市场可能的回暖与新技术的采用,加密钓鱼威胁将更具隐蔽性和适应性。行业与用户绝不能因年度损失数据的下降而放松警惕,相反,必须建立与市场波动和技术演进同步的“动态防御”体系。 对于普通投资者而言,在参与高活跃度市场交易时,对任何签名授权保持最高级别的审慎,是保护资产的第一道也是最重要的一道防线。
