2025年,加密货币钓鱼攻击造成的损失戏剧性地下降了83%,但安全专家警告,这绝不意味着警报解除。据Web3安全平台Scam Sniffer最新报告,钱包盗取器(Drainer)造成的损失从2024年的近4.94亿美元锐减至8385万美元,受害者人数也下降了68%。然而,分析指出,钓鱼活动与市场周期紧密联动,新型攻击向量正悄然涌现,投资者仍需保持高度警惕。
核心数据揭示市场联动性:钓鱼攻击成市场活跃度“晴雨表”
报告数据显示,钓鱼损失与市场活跃度呈现出惊人的正相关。在以太坊(ETH)迎来年度最强反弹的2025年第三季度,钓鱼损失高达3100万美元,占全年总损失的近29%。分析师指出,这印证了“当市场活跃时,整体用户活动增加,总有一定比例的用户会成为受害者——钓鱼攻击的发生概率与用户活动量成正比”这一论断。月度损失也从市场活动最平静的12月的204万美元,飙升至市场高峰期的8月的1217万美元。
市场背景:攻击手法迭代,从“鲸鱼狩猎”转向“广撒网”
值得注意的是,尽管大规模单笔盗窃事件减少(2025年损失超百万美元的事件仅11起,2024年为30起),但攻击策略发生了显著转变。攻击者越来越倾向于“低价值、高数量”的策略,每位受害者的平均损失降至790美元。这表明攻击活动正从针对“鲸鱼”的孤立高额盗窃,转向更广泛、以零售用户为重点的撒网式攻击。报告强调:“盗取器生态系统依然活跃——旧的盗取器退出,新的就会涌现来填补空缺。”
在攻击技术层面,基于恶意Permit签名的攻击依然是最有效的工具之一。2025年9月最大的一起单次钓鱼盗窃案(损失650万美元)便涉及恶意Permit签名。在所有损失超过百万美元的事件中,基于Permit的攻击占到了38%。
新兴威胁:EIP-7702成黑客新武器,协议升级伴生安全风险
更值得投资者关注的是,2025年出现了全新的攻击向量。在以太坊Pectra升级后不久,基于EIP-7702的恶意签名开始出现。这种攻击允许黑客利用账户抽象功能,将多个有害操作捆绑到单个用户签名中。仅在8月发生的两起主要EIP-7702攻击案件就造成了254万美元的损失,这凸显了攻击者适应协议层面变化的速度之快,每一次重大的技术升级都可能伴生新的安全挑战。
结尾预测:安全攻防战持续,用户教育与技术防护需双管齐下
综合来看,2025年加密钓鱼损失的大幅下降是积极信号,但绝非高枕无忧的理由。攻击活动已深度嵌入市场波动周期,且攻击技术正随底层协议进化而快速迭代。展望未来,随着市场可能再度进入活跃期,钓鱼攻击风险势必回升。安全专家建议,投资者在参与链上交互,尤其是签署Permit、Permit2或涉及新型账户抽象功能的交易时,必须保持万分谨慎。行业在持续推进安全技术升级的同时,加强用户的安全意识教育,将成为抵御下一波钓鱼攻击浪潮的关键防线。这场猫鼠游戏远未结束,唯有保持警惕,方能守护资产安全。
