导语:随着加密货币市场在2025年迎来复苏,一个看似矛盾的现象引起了安全研究机构的关注:与钱包流失者(Wallet Drainer)相关的钓鱼攻击总损失金额同比骤降83%,但攻击活动并未消失,反而与市场周期紧密联动,且新型攻击手段正在迅速涌现。Web3安全平台Scam Sniffer的最新报告为我们揭示了这一复杂的安全图景。
核心数据与观点:根据Scam Sniffer对以太坊虚拟机(EVM)链上签名钓鱼攻击的分析报告,2025年全年因钓鱼攻击造成的损失总额降至8385万美元,较2024年的近4.94亿美元下降了惊人的83%。受害者数量也大幅减少至106人,同比下降68%。值得注意的是,尽管数据大幅下滑,但报告明确指出:“流失者生态系统依然活跃——旧的流失者退出,新的便会填补空缺。”
市场背景与攻击周期分析:报告指出,钓鱼损失与市场活跃度呈现高度正相关。在2025年第三季度,恰逢以太坊(ETH)经历年内最强反弹,该季度录得了最高的钓鱼损失,达3100万美元,占全年损失的近29%。分析师指出,当市场活跃时,整体用户活动增加,受害者比例也随之上升——钓鱼攻击就像是用户活动量的概率函数。月度损失从市场最平静的12月的204万美元,到市场活动高峰8月的1217万美元,波动剧烈。
攻击手段的演变:2025年最大的单次钓鱼盗窃案发生在9月,涉及恶意的Permit签名,损失达650万美元。这表明基于Permit和Permit2授权的攻击仍然是攻击者最有效的工具之一,在损失超过100万美元的事件中,此类攻击占比达38%。投资者应关注的是,2025年还出现了一种全新的攻击向量。在以太坊Pectra升级后不久,基于EIP-7702的恶意签名开始出现,攻击者利用账户抽象功能,将多个有害操作捆绑进一个用户签名中。仅8月份的两起主要EIP-7702案例就造成了254万美元的损失,凸显了攻击者对协议级变化的适应速度之快。
攻击策略的转变:另一个显著趋势是,大规模攻击事件减少,2025年损失超过100万美元的案件仅有11起,而2024年为30起。然而,报告指出,攻击者越来越倾向于“低价值、高数量”的策略。每位受害者的平均损失降至790美元,这表明攻击活动正从针对性的高额盗窃,转向更广泛、面向零售用户的撒网式攻击。
结尾预测与行业展望:综合来看,2025年加密钓鱼攻击在总损失金额上得到了有效遏制,这或许得益于安全意识的提升和防御工具的改进。但安全威胁远未根除,它已演变为一种与市场共舞、手段快速迭代的持续性风险。随着市场可能进入新的活跃周期,以及账户抽象等新技术的普及,预计基于EIP-7702等新型协议的复杂攻击将变得更加常见。对于投资者和项目方而言,保持警惕、采用硬件钱包、谨慎授权交易签名,并持续关注安全动态,将是抵御下一波钓鱼攻击浪潮的关键。区块链安全之战,已从应对大规模爆发,转向了防范精准化、常态化的渗透。
