导语:2025年,加密货币领域的钱包盗取钓鱼攻击损失同比骤降83%,降至8385万美元,受害者数量也大幅减少。这一数据似乎预示着安全形势的显著改善。然而,安全研究机构Scam Sniffer在其最新报告中警告,盗取器生态系统依然活跃,攻击手法正随着市场周期和技术升级而快速演变,投资者远未到高枕无忧之时。
核心数据与观点:据Web3安全平台Scam Sniffer发布的报告,2025年全年,与钱包盗取器相关的加密钓鱼攻击总损失为8385万美元,相较于2024年的近4.94亿美元,同比下降了惊人的83%。受害者数量降至106人,同比减少68%。值得注意的是,尽管数据大幅下滑,但报告明确指出,钓鱼活动并未消失,其损失规模与市场周期高度相关。例如,在2025年第三季度,伴随以太坊(ETH)的年度最强上涨行情,钓鱼损失达到3100万美元,占全年总损失的近29%。分析师指出,这验证了“当市场活跃时,整体用户活动增加,钓鱼攻击作为用户活动的概率函数也随之上升”的规律。
市场背景与攻击手法演变:报告揭示了攻击策略的两大关键转变。首先,大规模单笔盗窃事件减少,2025年损失超过100万美元的事件仅有11起,远低于2024年的30起。然而,攻击者正转向“低价值、高频率”的策略,每位受害者的平均损失降至790美元,这表明攻击目标正从鲸鱼用户转向更广泛的零售投资者。其次,新的攻击向量正在涌现。在以太坊Pectra升级后,基于EIP-7702的恶意签名迅速出现,攻击者利用账户抽象特性,将多个有害操作捆绑进单一用户签名中。仅8月份的两起主要EIP-7702攻击案件就造成了254万美元的损失,凸显了攻击者对协议级变化的快速适应能力。此外,基于恶意Permit签名的攻击依然是最有效的工具之一,全年最大的单笔钓鱼盗窃(650万美元)即使用了此手法,在超过百万美元的损失事件中,Permit类攻击占比高达38%。
结尾预测与行业警示:综合来看,2025年加密钓鱼损失的锐减,是市场周期性波动、安全意识提升与防护措施加强共同作用的结果。但报告结论一针见血:“盗取器生态系统依然活跃——旧的盗取器退出,新的盗取器便会涌现以填补空缺。”投资者应关注,随着市场未来可能再次进入活跃期,钓鱼攻击风险必将随之回升。同时,区块链底层协议的持续升级(如账户抽象的普及)在提升用户体验的同时,也可能被不法分子利用,开辟新的攻击路径。安全是一场永无止境的攻防战,行业参与者必须保持警惕,持续更新安全知识和工具,切勿因短期数据的改善而放松戒备。未来的安全战场,或将更加集中于对普通用户和新型技术漏洞的防护上。
