导语:据Web3安全平台Scam Sniffer最新报告,2025年与钱包盗取器相关的加密钓鱼攻击造成的总损失骤降至8385万美元,较2024年的近4.94亿美元暴跌83%。然而,分析师指出,攻击活动并未消失,而是与市场周期紧密联动,并不断演化出新的攻击向量,安全形势依然复杂严峻。
一、核心数据揭示:损失锐减,但攻击模式发生转变
报告显示,2025年加密钓鱼受害者数量也大幅下降至106人,同比减少68%。值得注意的是,尽管大规模单笔损失事件减少(损失超100万美元的事件从2024年的30起降至11起),但攻击者的策略正转向“小额高频”。2025年每位受害者的平均损失降至790美元,这表明攻击者更倾向于针对广泛的零售用户进行广撒网式的攻击,而非追求单笔巨额盗窃。
二、市场背景分析:攻击活动与市场热度同频共振
安全研究人员警告,钓鱼活动远未消失,其损失规模与市场活跃度呈高度正相关。报告指出,“当市场活跃时,整体用户活动增加,一定比例的用户会成为受害者——钓鱼攻击是用户活动量的概率函数。” 2025年第三季度,恰逢以太坊(ETH)经历年内最强反弹,该季度录得的钓鱼损失高达3100万美元,占全年损失的近29%。月度损失从市场最平静的12月的204万美元,到市场活动高峰8月的1217万美元,波动显著。
三、新威胁浮现:攻击向量随技术升级快速迭代
Permit和Permit2签名批准仍是攻击者最有效的工具之一。2025年最大的一笔单次钓鱼盗窃发生在9月,总额达650万美元,即涉及恶意Permit签名。在损失超百万美元的事件中,基于Permit的攻击占了38%。
更值得警惕的是,2025年出现了全新的攻击向量。在以太坊Pectra升级后不久,基于EIP-7702的恶意签名开始出现。这种攻击利用账户抽象,允许攻击者将多个有害操作捆绑进一个用户签名中。仅8月份的两起重大EIP-7702攻击案件就造成了254万美元的损失,凸显了攻击者适应协议级变化的速度之快。
四、结尾预测与行业展望
报告总结道:“盗取器生态系统依然活跃——旧的盗取器退出,新的盗取器便会涌现以填补空缺。” 这预示着,尽管总体损失金额下降,但攻防对抗将长期持续并不断升级。投资者应关注,随着市场可能进入新的活跃周期,钓鱼攻击的风险或将再度攀升。同时,行业必须对EIP-7702等新标准带来的潜在安全影响保持高度警惕,钱包提供商和安全团队需提前部署防护策略。未来,安全防御的重点可能从单纯阻止大额盗窃,转向更全面地保护海量普通用户免受“温水煮青蛙”式的小额资产侵蚀。
