加密貨幣釣魚攻擊大幅下降：2025年損失額下降83%，至8,385萬美元

2025年，加密貨幣釣魚詐騙的格局經歷了劇烈轉變，損失較前一年大幅下降超過83%。根據 Scam Sniffer 的年度綜合報告，網路犯罪分子透過錢包提款釣魚方案竊取約 8385 萬美元，影響全球106,106名受害者——與2024年近5億美元的慘重損失、超過33萬用戶受害形成鮮明對比。這一顯著下降標誌著釣魚攻擊在數位資產持有者中的數量與成功率都出現了重大轉變。

季度分析：何時釣魚威脅達到高峰

2025年釣魚損失的分佈揭示了市場活動與攻擊強度之間的密切關係。第一季見證了釣魚相關的錢包提款器從約2萬2千名用戶中竊取2,194萬美元，早期市場的低迷與較少的釣魚企圖相關聯。隨著第二季市場動能開始回升，釣魚損失降至1,778萬美元，影響約2.1萬名受害者，顯示較低的用戶參與度直接抑制了攻擊的效果。

第三季成為釣魚受害者最危險的季度，損失激增至3,104萬美元，並在比特幣與以太坊市場漲勢中影響了4萬個帳戶。僅八月與九月就佔全年釣魚竊盜總量的29%，顯示市場熱潮期間攻擊者有更廣泛的機會。到第四季，隨著市場穩定，釣魚活動大幅減少，損失降至1,309萬美元——全年最低的季度數字，影響106,106名用戶。

高階釣魚技術：許可證漏洞與簽名操控

2025年釣魚攻擊的精密度逐漸提升，重點轉向基於授權的漏洞利用，而非粗糙的帳號竊取。Permit與Permit2協議旨在簡化錢包互動，無需轉帳，卻成為操控的主要目標。攻擊者偽裝惡意的授權請求為常規錢包權限，誘騙用戶授權代幣提款。

當年最昂貴的單一釣魚事件發生在九月，攻擊者利用Permit風格的簽名攻擊竊取了650萬美元的質押ETH與包裝比特幣。此攻擊手法佔所有超過100萬美元竊案的38%，凸顯Permit基礎的釣魚仍是最賺錢的方法。五月份，一次授權升級漏洞導致312萬美元的包裝比特幣被盜，八月則有305萬美元的穩定幣通過直接轉帳詐騙消失。

大型竊案的減少也反映了攻擊模式的轉變。2025年只有11起損失超過100萬美元的案件，而2024年則有30起，六位數釣魚成功率下降了63%。受害者平均損失也從前一年的約1,500美元降至790美元，顯示攻擊者或許面臨更高的用戶警覺，或轉向針對較小帳戶的量產攻擊。

主要釣魚攻勢與供應鏈威脅

2025年2月，發生了年度最具影響力的安全漏洞之一，Lazarus集團透過高階釣魚與社交工程攻破了一家加密貨幣錢包供應商的開發者系統。攻擊者在簽名界面注入惡意程式碼，創造假冒的授權提示，竊取了14.6億美元——成為2025年最大單一供應鏈釣魚事件之一。此事件凸顯釣魚已超越個人用戶，擴展至基礎設施供應商。

全年內，攻擊者除了直接錢包互動外，還部署多種釣魚手法。受損的電子郵件活動、被劫持的網站前端，以及後門開源庫，成為用於大規模提取私鑰的錢包惡意軟體的傳播渠道。十二月，攻擊者向超過3,000家製造企業發送假冒Google任務郵件，利用合法的整合工具繞過電子郵件安全過濾。受害者點擊嵌入的任務按鈕後，會被重定向到釣魚登陸頁面，進行帳號竊取與企業系統的橫向滲透。

2025年釣魚趨勢與風險啟示

數據顯示，2025年的加密貨幣釣魚威脅正在演變而非消失。雖然整體損失下降了83%，但基於授權的漏洞利用與供應鏈攻擊的出現，顯示攻擊者正根據用戶意識提升與平台防禦進步，調整其策略。市場週期與釣魚量之間的高度相關性預示未來的行情反彈可能會吸引新一輪的釣魚攻勢。用戶與組織必須保持警覺，特別是對可疑的授權提示、電子郵件社交工程，以及在加密生態系中持續存在的供應鏈漏洞。