2025年,加密世界迎来一个喜忧参半的安全信号。据Web3安全平台Scam Sniffer最新报告,与钱包盗取器相关的网络钓鱼攻击造成的总损失大幅下降至8385万美元,较2024年的近4.94亿美元同比锐减83%。受害者数量也显著减少至106人,同比下降68%。然而,分析师指出,这并非高枕无忧的信号,盗取器生态系统依然活跃,并随着市场周期起伏与协议升级而不断演化。
核心数据与观点:市场热度与攻击频率正相关
报告揭示了一个关键现象:钓鱼攻击的损失与市场周期紧密相连。在2025年第三季度,恰逢以太坊迎来年内最强反弹,该季度记录的钓鱼损失也达到全年峰值,高达3100万美元,占年度总损失的近29%。月度损失范围则从市场最平静的12月的204万美元,到市场活动高峰期的8月的1217万美元。这印证了报告的观点:“当市场活跃时,整体用户活动增加,一定比例的用户会成为受害者——钓鱼攻击就像是用户活动的一个概率函数。”
市场背景分析:攻击手法迭代,策略转向“小额高频”
尽管大规模事件减少——2025年仅发生11起损失超百万美元的案件,远低于2024年的30起——但攻击者的策略正在转变。值得注意的是,攻击者越来越倾向于“低价值、高数量”的策略。2025年每位受害者的平均损失降至790美元,这表明攻击活动正从孤立的、高知名度的盗窃,转向更广泛、针对零售用户的规模化活动。
在技术层面,Permit签名依然是攻击者的利器。全年最大的单次钓鱼盗窃事件发生在9月,涉及恶意Permit签名,损失达650万美元。在所有损失超百万美元的事件中,基于Permit的攻击占比高达38%。
更值得警惕的是,新的攻击载体已经出现。在以太坊Pectra升级后不久,基于EIP-7702的恶意签名开始出现,攻击者利用账户抽象功能,将多个有害操作捆绑进单个用户签名中。仅在8月,两起主要的EIP-7702攻击案件就造成了254万美元的损失,凸显了攻击者适应协议级变化的速度之快。
结尾预测:生态持续博弈,安全警钟长鸣
综合来看,2025年加密钓鱼损失的显著下降无疑是积极进展,但报告结论给所有市场参与者敲响了警钟:“盗取器生态系统依然活跃——旧的盗取器退出,新的盗取器便会涌现以填补空白。”随着市场可能进入新的活跃周期,以及区块链底层技术的持续升级,攻击与防御的博弈将不断上演。投资者应关注,安全威胁并未消失,而是变得更加隐蔽和适应市场环境。未来,除了依赖安全工具的进步,用户自身对签名授权、地址验证等基本安全实践的警惕性,将成为抵御风险的最后一道关键防线。
