加密货币钓鱼攻击骤降：2025年损失减少83%，至8,385万美元

2025年，加密货币钓鱼诈骗的格局发生了戏剧性变化，损失比上一年大幅下降超过83%。根据Scam Sniffer的年度综合报告，网络犯罪分子通过钱包耗尽钓鱼方案盗取了大约8385万美元，影响了全球106,106名受害者——与2024年近5亿美元的巨大损失形成鲜明对比，后者涉及超过33万名用户。这一显著下降标志着针对数字资产持有者的钓鱼攻击在数量和成功率方面都发生了重大转变。

季度细分：钓鱼威胁何时达到高峰

2025年钓鱼损失的分布揭示了市场活动与攻击强度之间的紧密关系。第一季度，钓鱼相关的钱包耗尽事件造成了2194万美元的损失，影响约22,000名用户，年初市场的低迷与钓鱼尝试的减少相关联。随着第二季度市场势头开始恢复，钓鱼损失降至1778万美元，影响约21,000名受害者，显示用户参与度的降低直接抑制了攻击的效果。

第三季度成为钓鱼受害者最危险的季度，损失激增至3104万美元，影响4万账户，正值比特币和以太坊市场的上涨。仅八月和九月就占据了全年钓鱼盗窃总量的29%，表明市场热度的提升为攻击者提供了更广阔的机会。到第四季度，随着市场稳定，钓鱼活动大幅减少，损失降至1309万美元——全年最低的季度数字，影响106,106名用户。

高级钓鱼技术：Permit漏洞利用与签名操控

2025年钓鱼攻击的复杂程度逐渐提升，越来越多地集中在基于授权的漏洞利用，而非粗糙的凭证盗窃。Permit和Permit2协议旨在简化钱包交互，无需资金转账，成为操控的主要目标。攻击者伪装恶意授权请求为常规钱包权限，欺骗用户授权提取代币。

全年最昂贵的单一钓鱼事件发生在九月，攻击者利用Permit风格的签名攻击，盗取了650万美元的质押ETH和包裹比特币。这一攻击方式占所有超过100万美元盗窃的38%，凸显Permit基础钓鱼仍是最盈利的方法。五月，一次授权升级漏洞导致 drained 了313万美元的包裹比特币，而八月又通过直接转账欺骗，消失了305万美元的稳定币。

大型盗窃事件的减少也反映了攻击模式的变化。2025年，超过100万美元的案件仅有11起，而2024年为30起，六位数钓鱼成功案例减少了63%。受害者平均损失也从去年的约1500美元降至790美元，表明攻击者要么面临更高的用户警觉，要么转向针对较小账户的量级攻击。

主要钓鱼行动与供应链威胁

2025年2月发生了年度最具影响力的安全漏洞之一，Lazarus集团通过复杂的钓鱼和社会工程入侵了一家加密钱包提供商的开发者系统。通过在签名界面注入恶意代码，攻击者创建了伪造的授权提示，窃取了14.6亿美元——成为2025年最大的一起单一供应链钓鱼事件。这次攻击凸显了钓鱼已超越个人用户，威胁到基础设施提供者。

全年，攻击者采用了多种钓鱼手段，除了直接的钱包交互外，还利用被攻陷的电子邮件活动、劫持的网站前端和带后门的开源库作为钱包恶意软件的传播渠道，旨在大规模提取私钥。十二月，攻击者向3000多家制造企业发送了虚假的Google Task邮件，利用合法的集成工具绕过电子邮件安全过滤。受害者点击嵌入的任务按钮后，被引导至钓鱼着陆页，窃取凭证，可能导致账户被接管和企业系统的横向渗透。

2025年钓鱼趋势与风险影响

数据显示，2025年的钓鱼威胁在不断演变而非消失。尽管整体损失下降了83%，但基于授权的漏洞利用和供应链攻击的出现，表明攻击者在应对用户意识提升和平台防御加强的同时，正在不断优化其策略。市场周期与钓鱼量之间的强相关性预示未来的市场反弹可能会吸引新一轮的钓鱼攻击。用户和组织必须保持警惕，特别是对可疑的授权请求、基于电子邮件的社会工程以及在加密生态系统中持续存在的供应链漏洞。