导语:Web3安全平台Scam Sniffer最新报告揭示了一个看似矛盾的现象:2025年,与钱包盗取器相关的加密钓鱼攻击总损失骤降至8385万美元,同比2024年的近4.94亿美元狂跌83%,受害者数量也锐减68%至106人。然而,分析师指出,这绝不意味着网络犯罪分子的偃旗息鼓,相反,一个更隐蔽、更多元化的攻击生态正在悄然形成。
核心观点与数据:报告显示,钓鱼损失与市场周期呈现强关联性。在以太坊(ETH)年度最强反弹的2025年第三季度,钓鱼损失高达3100万美元,占全年总损失的近29%。值得注意的是,月度损失从市场最平静的12月的204万美元,到市场活动高峰期的8月的1217万美元,波动剧烈。报告一针见血地指出:“当市场活跃时,整体用户活动增加,总有一定比例的用户成为受害者——钓鱼攻击的发生率是用户活跃度的概率函数。”
市场背景与攻击手法演变分析:尽管百万美元级别的大型案件从2024年的30起减少至2025年的11起,但攻击手法却不断“推陈出新”。Permit和Permit2签名批准仍是攻击者的“利器”,年度最大的单次钓鱼盗窃(650万美元)便涉及恶意Permit签名。更值得警惕的是,随着以太坊Pectra升级,基于EIP-7702的新型恶意签名攻击载体首次出现,攻击者可利用账户抽象技术,将多个恶意操作捆绑进单一用户签名中,仅在8月的两起相关案件就造成了254万美元的损失。这凸显了攻击者适应协议级变化的速度之快。
此外,攻击策略正发生显著转变。每位受害者的平均损失降至790美元,这表明攻击者正从针对“鲸鱼”的高价值、孤立盗窃,转向“广撒网”式的、针对零售用户的大规模低价值攻击策略,以求在更广泛的人群中积少成多。报告总结道:“盗取器生态系统依然活跃——旧的盗取器退出,新的便会填补空缺。”
结尾预测与行业展望:结合PeckShield等其他安全机构的数据(2025年12月加密黑客与漏洞造成的总损失环比下降60%至约7600万美元),行业似乎正进入一个“总量下降但威胁持续”的复杂阶段。投资者与用户应高度关注两个核心趋势:一是攻击手法将紧跟主流公链的技术升级(如账户抽象)而快速进化;二是防御重心需从仅防范“鲸鱼”级攻击,扩展到保护更广泛的普通用户免受高频、小额、自动化的钓鱼侵害。未来,安全防护的“全民化”与“实时化”将成为Web3大规模应用不可或缺的基石。市场狂欢时,往往是安全警钟最需长鸣之际。
