Edgen Crypto·Dec 03 2025, 10:0711月,针对加密货币用户的网络钓鱼攻击导致了巨大的经济损失。数据显示,攻击者正在利用复杂的 F 技术绕过安全措施并利用链上权限,对数字资产生态系统构成持续威胁。
据Scam Sniffer的数据显示,11月针对加密货币领域的网络钓鱼攻击导致6,344名受害者损失了约777万美元。这些事件凸显了攻击者部署复杂方法欺骗投资者的严峻且不断演变的威胁格局。一个值得注意的案例涉及一名受害者通过被盗用的“permit”签名损失了122万美元,这突显了与现代智能合约交互相关的严重财务风险。
区块链安全监控公司Scam Sniffer报告称,由于网络钓鱼活动,11月对加密货币投资者来说又是代价高昂的一个月。总损失达777万美元,数千人受到影响。
最严重的单笔损失源于涉及“permit”签名的漏洞利用。这项基于EIP-2612的技术允许用户通过链下签名批准代币支出,而无需支付Gas费。虽然设计目的是为了方便,但它已成为网络钓鱼者的主要目标。攻击者诱骗用户签署一个看似无害的消息,而实际上这授予了诈骗者从用户钱包中耗尽代币的权限。122万美元的盗窃案表明了这种攻击向量的强大性,因为一个签名就可以授权大量的资产转移,而无需受害者直接进行链上交易。
网络钓鱼攻击的持续性和日益复杂性通过侵蚀对DeFi和Web3平台安全性的信任,助长了看跌的市场情绪。每一起备受瞩目的盗窃案都强化了加密货币领域是高风险环境的看法,这可能会阻碍主流采用并招致更严格的监管审查。对“permit”签名等基本区块链功能的利用可能导致监管机构对DApp开发者和钱包提供商施加更严格的安全标准,以保护消费者。
网络钓鱼活动的技术演变是安全专家关注的一个主要问题。攻击者不再依赖简单、易于检测的诈骗。根据MediaPost的报告,网络钓鱼者现在将不可见的Unicode字符和软连字符嵌入到电子邮件主题行中。这些字符对人眼不可见,但能有效地扰乱基于关键字的安全过滤器的内容,从而使恶意电子邮件绕过检测。
“对你来说,它看起来很正常。但对安全过滤器来说,它看起来是乱码,没有明确的关键字可以匹配,”科技记者Kurt the CyberGuy解释道。这使得攻击者能够发送具有紧迫感的欺骗性电子邮件,引导用户访问虚假的登录页面。
此外,威胁范围不仅限于电子邮件。安全公司Koi Security发现了一个名为“ShadyPanda”的威胁行为者,该行为者已分发了超过100个针对Chrome和Edge的恶意浏览器扩展。这些扩展已被超过400万用户下载,并作为联盟欺诈、数据盗窃和远程代码执行的后门。它们代表了一种持续的威胁向量,可以记录用户击键、窃取Cookie数据和窃取浏览器指纹。
这些网络钓鱼事件是针对数字平台的网络犯罪升级这一更广泛趋势的一部分。例如,电商巨头Coupang最近的数据泄露导致3370万客户的个人信息被盗。虽然这不是直接的加密网络钓鱼事件,但此类大规模泄露为攻击者提供了制作高针对性和令人信服的网络钓鱼活动所需的原始数据——姓名、电子邮件地址和电话号码。
复杂的社会工程、技术漏洞和随时可用的个人数据的融合,为整个数字资产生态系统带来了系统性风险。这使得平台有更大的责任开发更具弹性的安全架构,并要求用户在与应用程序交互和签署交易时保持高度警惕。