导语:2025年,加密货币钱包钓鱼攻击造成的损失较前一年暴跌83%,降至8385万美元,受害者人数也锐减68%。然而,这并非高枕无忧的信号。安全报告揭示,钓鱼活动与市场周期紧密联动,新型攻击向量EIP-7702恶意签名已悄然登场,预示着安全攻防战正进入一个更复杂、更隐蔽的新阶段。
核心观点:据Web3安全平台Scam Sniffer发布的最新报告,2025年与钱包盗取器相关的加密钓鱼攻击损失总额为8385万美元,相比2024年的近4.94亿美元,同比下降83%。受害者人数也显著下降至106人,降幅达68%。然而,分析师指出,钓鱼活动并未消失,而是与市场活跃度呈正相关。在2025年第三季度,正值以太坊(ETH)年内最强反弹之际,钓鱼损失达到3100万美元,占全年损失的近29%。报告强调,“当市场活跃时,整体用户活动增加,一定比例的用户会成为受害者——钓鱼攻击是用户活动量的概率函数。”
市场背景分析:值得注意的是,攻击策略正在发生显著变化。一方面,大额单笔盗窃事件减少,2025年损失超过100万美元的事件仅有11起,远低于2024年的30起。另一方面,攻击者似乎转向了“小额高频”的策略,每位受害者的平均损失降至790美元,这表明攻击目标正从高净值用户转向更广泛的零售投资者群体。
尽管整体损失下降,但新型攻击技术层出不穷。2025年最大的单笔钓鱼盗窃发生在9月,涉及恶意Permit签名,金额达650万美元。基于Permit的攻击在损失超百万美元的事件中占比高达38%。更值得警惕的是,在以太坊Pectra升级后,基于EIP-7702的新型恶意签名迅速出现,攻击者利用账户抽象特性,将多个恶意操作捆绑进单一用户签名中。仅8月份的两起主要EIP-7702攻击案件就造成了254万美元的损失,凸显了攻击者对协议级变化的快速适应能力。
结尾预测:综合来看,加密钓鱼攻击的“盗取器生态系统依然活跃”。旧有攻击方式退场,新的攻击者会迅速填补空白。投资者应关注,随着市场未来可能出现的回暖,钓鱼攻击活动或将再度抬头。安全防线必须持续进化,尤其是在应对Permit签名授权和类似EIP-7702等新型协议级攻击向量方面,用户教育和智能合约安全审计的重要性将愈发凸显。未来的安全战场,将是技术创新与风险意识的双重较量。
