导语:2025年,加密货币领域的钱包钓鱼攻击损失金额出现了戏剧性的断崖式下跌。据最新安全报告显示,全年损失总额降至8385万美元,同比2024年的近4.94亿美元大幅下降了83%。然而,表面的平静之下,安全专家却敲响了警钟:攻击活动并未消失,而是随着市场周期起伏,并演化出更狡猾的新形态。
核心数据与观点:Web3安全平台Scam Sniffer在其针对以太坊虚拟机(EVM)链上签名钓鱼的分析报告中指出,2025年钓鱼受害者人数也锐减至106人,较上一年下降了68%。值得注意的是,单次损失超过百万美元的大规模事件从2024年的30起减少至11起。分析师指出,这表明攻击者的策略正在从“鲸鱼狩猎”转向更广泛的“撒网捕鱼”,每位受害者的平均损失已降至790美元。
市场背景分析:报告揭示了一个关键规律:钓鱼损失与市场活跃度高度正相关。在2025年第三季度,随着以太坊(ETH)迎来年度最强上涨行情,钓鱼损失也达到峰值,高达3100万美元,占全年总损失的近29%。相比之下,市场最平静的12月,损失则降至204万美元。这印证了报告中的观点:“当市场活跃时,整体用户活动增加,其中一定比例的用户会成为受害者——钓鱼活动是用户活跃度的概率函数。”
新型攻击向量涌现:尽管整体损失下降,但攻击技术却在迭代升级。Permit和Permit2签名授权仍是攻击者最有效的工具之一,在超过百万美元的损失事件中,基于Permit的攻击占比高达38%,其中9月份最大的一笔单次钓鱼盗窃就涉及恶意Permit签名,金额达650万美元。更值得警惕的是,随着以太坊Pectra升级,基于EIP-7702的新型恶意签名开始出现。攻击者利用账户抽象特性,将多个恶意操作捆绑在单一用户签名中,仅8月份的两起主要EIP-7702案例就造成了254万美元的损失,凸显了攻击者适应协议级变化的速度之快。
结尾预测与警示:报告最终总结道:“盗取者生态系统依然活跃——旧的盗取者退出,新的盗取者便会涌现以填补空缺。” 结合另一安全机构PeckShield的数据,2025年12月因黑客攻击和网络安全漏洞造成的加密相关损失约为7600万美元,虽较11月下降60%,但全月仍记录了26起重大事件。这表明,攻击活动具有持久性,威胁格局正在重塑。投资者应关注,在市场回暖、链上活动激增时,务必提高对新型签名授权(尤其是Permit类及EIP-7702相关)的警惕,切勿签署来源不明或意图不清的交易。安全防御必须跑在攻击演化之前,方能守住资产壁垒。
