导语:据Web3安全平台Scam Sniffer最新报告,2025年与钱包盗取器相关的加密钓鱼攻击损失骤降至8385万美元,较2024年的近4.94亿美元暴跌83%,受害者数量也锐减68%至106人。然而,分析师指出,这并不意味着网络犯罪活动已经偃旗息鼓,攻击活动与市场周期紧密联动,且新型攻击手段正随协议升级而不断涌现。
核心观点与数据:报告数据显示,钓鱼损失呈现出明显的市场周期性特征。在以太坊(ETH)年度最强反弹的2025年第三季度,钓鱼损失达到3100万美元,占全年总损失的近29%。月度损失则在市场最平静的12月(204万美元)与市场活动高峰期的8月(1217万美元)之间波动。值得注意的是,全年最大的单笔钓鱼盗窃案发生在9月,金额高达650万美元,涉及恶意Permit签名。总体而言,在损失超过100万美元的事件中,基于Permit的攻击占38%。
市场背景与攻击策略演变:尽管大规模事件减少(2025年损失超百万美元的案件仅11起,2024年为30起),但攻击者的策略正转向“小额高频”。2025年每位受害者的平均损失降至790美元,这表明攻击者更倾向于广泛撒网、针对零售用户,而非孤立的、高价值目标。报告警告称:“盗取器生态系统仍然活跃——旧的盗取器退出,新的便会填补空缺。”
更值得投资者关注的是新型攻击向量的出现。在以太坊Pectra升级后不久,基于EIP-7702的恶意签名开始出现,攻击者利用账户抽象技术,将多个有害操作捆绑到单个用户签名中。仅8月份的两起主要EIP-7702案例就造成了254万美元的损失,凸显了攻击者对协议级变化的快速适应能力。
结尾预测与行业展望:综合其他安全机构数据(如PeckShield报告12月加密黑客与漏洞利用损失降至约7600万美元),行业整体安全态势在数据层面有所改善。然而,安全威胁的本质正在从“明目张胆的抢劫”转向“持续不断的渗透”。随着市场未来可能再次进入活跃周期,钓鱼攻击的“概率函数”效应恐将再次放大。行业专家提示,投资者在参与链上活动,尤其是进行交易授权时,必须保持高度警惕,防范新型签名骗局。安全建设是一场持久战,生态的活跃度转换,意味着防御策略也需持续迭代升级。
