导语:据Web3安全平台Scam Sniffer最新报告,2025年与钱包盗取器相关的加密钓鱼攻击损失总额降至8385万美元,较2024年的近4.94亿美元同比大幅下降83%。然而,分析师指出,这并不意味着威胁已经消失。报告警告,钓鱼活动与市场周期紧密相关,攻击者正转向新的攻击向量和更广泛、针对散户的策略,整个盗取器生态系统依然活跃。
核心数据与市场背景分析
报告数据显示,2025年钓鱼攻击受害者数量也显著减少至106人,较上一年下降了68%。值得注意的是,月度损失金额与市场活跃度高度正相关。在2025年第三季度,伴随以太坊(ETH)的年度最强上涨行情,钓鱼损失也达到峰值,录得3100万美元,占全年总损失的近29%。其中,最平静的12月损失为204万美元,而市场活动高峰期的8月则高达1217万美元。
攻击手法演变:从Permit签名到EIP-7702新漏洞
尽管大规模单笔盗窃事件有所减少(2025年损失超百万美元的事件仅11起,2024年为30起),但攻击手法却在不断进化。全年最大单笔钓鱼盗窃案发生在9月,涉及恶意的Permit签名,损失达650万美元。总体而言,在损失超过百万美元的事件中,基于Permit的攻击占了38%。
更值得投资者关注的是,2025年出现了全新的攻击向量。在以太坊Pectra升级后不久,基于EIP-7702的恶意签名开始出现。攻击者利用账户抽象功能,将多个有害操作捆绑在单个用户签名中。仅8月份的两起主要EIP-7702攻击案例就造成了254万美元的损失,凸显了攻击者适应协议层面变化的速度之快。
策略转向:从“鲸鱼”狙击到“广撒网”
报告指出,攻击者策略正发生明显转变,越来越倾向于“低价值、高频率”的广撒网模式。2025年每位受害者的平均损失降至790美元,这表明攻击重点正从孤立的、高知名度的大额盗窃,转向更广泛、针对零售用户的规模化活动。
结尾预测与行业警示
报告总结道:“盗取器生态系统依然活跃——旧的盗取器退出,新的盗取器便会涌现来填补空缺。” 这一结论与区块链安全公司PeckShield的另一份报告数据相呼应,后者显示尽管12月主要安全事件仍有26起,但加密领域因黑客攻击和漏洞利用造成的总损失环比下降了60%。
展望未来,随着市场可能再次进入活跃周期,用户活动增加,钓鱼攻击的风险概率也将随之上升。行业专家提醒,投资者在参与链上活动,尤其是签署交易授权时,必须保持高度警惕,审慎核实每一个签名请求的来源和内容,切勿在牛市热情中放松安全警惕。协议开发者也需持续关注并加固新功能可能带来的安全边际,共同构建更安全的Web3生态。
