导语:2025年,加密钱包钓鱼攻击造成的损失戏剧性暴跌83%,降至8385万美元。然而,在一片向好的数据背后,安全分析师却敲响了警钟:随着市场活跃度攀升,新型攻击手段正悄然涌现,一个更隐蔽、更分散的“盗币者”生态系统依然活跃。
核心观点与数据:根据Web3安全平台Scam Sniffer的最新报告,与钱包盗取器相关的加密钓鱼攻击在2025年大幅减少。总损失从2024年的近4.94亿美元骤降至8385万美元,同比降幅高达83%。受害人数也显著下降至106人,较上一年减少了68%。值得注意的是,尽管大规模单笔损失事件减少(2025年仅11起损失超百万美元,2024年为30起),但攻击策略正转向“广撒网”。2025年每位受害者的平均损失降至790美元,表明攻击者更倾向于针对广泛的零售用户,而非单一的“鲸鱼”。
市场背景与风险分析:报告指出,钓鱼损失与市场周期紧密相关。在以太坊(ETH)迎来年内最强涨势的2025年第三季度,钓鱼损失达到峰值3100万美元,占全年总损失的近29%。分析师指出,“当市场活跃时,整体用户活动增加,一定比例的用户会成为受害者——钓鱼攻击是用户活动量的概率函数。” 月度损失数据也印证了这一点,从市场最平静的12月的204万美元,到市场活动高峰8月的1217万美元,波动显著。此外,2025年最大的单笔钓鱼盗窃案发生在9月,涉及恶意的Permit签名,损失达650万美元。基于Permit的攻击在损失超百万美元的事件中占比高达38%。
新型攻击向量涌现:2025年标志着新攻击路径的出现。在以太坊Pectra升级后不久,基于EIP-7702的恶意签名开始出现,攻击者得以利用账户抽象功能,将多个有害操作捆绑在单一用户签名中。仅8月份的两起主要EIP-7702攻击事件就造成了254万美元的损失,这凸显了攻击者对协议层面变化的适应速度有多快。投资者应关注,随着技术栈的演进,此类利用智能合约复杂性的新型攻击可能成为未来主要威胁。
结尾预测与总结:尽管数据显示总体损失大幅下降,但安全研究人员的结论不容乐观:“盗币者生态系统依然活跃——旧的盗币者退出,新的盗币者会填补空缺。” 市场回暖往往伴随着安全事件的同步升温,而攻击者正从追求“单笔巨额”转向“高频小额”的策略,这使得防御和追踪变得更加困难。对于普通用户而言,在牛市兴奋之余,强化对Permit、EIP-7702等新型签名风险的认知,并始终保持对不明链接和授权的警惕,是保护资产安全的第一道防线。 未来的Web3安全战场,或将更多地围绕协议升级后的漏洞利用与用户行为安全教育展开。
