2025年,加密货币钓鱼攻击造成的损失戏剧性暴跌83%,降至8385万美元,但安全专家却敲响了警钟:攻击并未消失,而是随着市场周期波动,并演化出新的攻击向量。在以太坊等链上活动频繁的季度,钓鱼活动依旧猖獗,这揭示了区块链安全是一场永不停歇的攻防战。本文将结合Scam Sniffer最新报告,为您剖析数据背后的市场真相与未来风险。
核心观点:损失锐减但生态活跃,攻击转向“小额高频”
据Web3安全平台Scam Sniffer报告,2025年与钱包盗取器相关的钓鱼攻击总损失为8385万美元,相比2024年的近4.94亿美元大幅下降83%。受害者数量也显著减少至106人,同比下降68%。值得注意的是,尽管数据大幅改善,但报告明确指出“盗取器生态系统依然活跃——旧的盗取器退出,新的便会填补空缺”。更值得警惕的是,攻击策略发生转变,单次损失超过100万美元的大规模事件从2024年的30起减少至2025年的11起,而受害者平均损失降至790美元,这表明攻击者正从针对“鲸鱼”的高价值攻击,转向面向广大零售用户的“小额高频”撒网式策略。
市场背景分析:损失与市场热度高度正相关,新协议成双刃剑
分析指出,钓鱼损失与市场周期紧密挂钩。在链上活动活跃、市场上涨时期,损失随之上升。2025年第三季度,恰逢以太坊(ETH)经历年内最强反弹,该季度录得最高的钓鱼损失,达3100万美元,占全年损失的近29%。报告解释称:“当市场活跃时,整体用户活动增加,一定比例的用户会成为受害者——钓鱼攻击的发生概率是用户活动的函数。”月度损失从市场最平静的12月的204万美元,到市场活动高峰8月的1217万美元,波动剧烈。
在技术层面,基于Permit和Permit2签名的恶意授权依然是攻击者最有效的工具。全年最大的单次钓鱼盗窃案发生在9月,损失达650万美元,便涉及恶意Permit签名。在损失超过100万美元的事件中,基于Permit的攻击占到了38%。
然而,2025年也标志着新攻击载体的出现。在以太坊Pectra升级后不久,基于EIP-7702的恶意签名开始出现,攻击者利用账户抽象功能,将多个有害操作捆绑到单个用户签名中。仅8月份的两起主要EIP-7702攻击事件就造成了254万美元的损失,凸显了攻击者适应协议级变化的速度之快。
结尾预测:攻防升级持续,用户教育与技术防护需并重
综合来看,尽管年度统计数据显示损失大幅收窄,但这绝不意味着可以放松警惕。攻击活动与市场情绪的正相关性、攻击向量随协议升级而快速演化,以及策略向“广撒网”的转变,都预示着安全挑战将长期存在。投资者应关注,在下一个牛市周期中,钓鱼攻击极有可能随着交易活跃度攀升而再度抬头。未来,除了安全团队持续监测和升级防御机制外,普通用户的安全意识教育、对陌生签名的谨慎授权,将成为抵御“小额高频”攻击最关键的防线。区块链安全是一场动态的军备竞赛,唯有保持警惕,方能保障资产安全。
