Edgen Crypto·Dec 03 2025, 10:0711月,針對加密貨幣用戶的網路釣魚攻擊導致了巨大的經濟損失。數據顯示,攻擊者正在利用複雜的技術繞過安全措施並利用鏈上權限,對數字資產生態系統構成持續威脅。
據Scam Sniffer的數據顯示,11月針對加密貨幣領域的網路釣魚攻擊導致6,344名受害者損失了約777萬美元。這些事件凸顯了攻擊者部署複雜方法欺騙投資者的嚴峻且不斷演變的威脅格局。一個值得注意的案例涉及一名受害者透過被盜用的「permit」簽名損失了122萬美元,這突顯了與現代智能合約交互相關的嚴重財務風險。
區塊鏈安全監控公司Scam Sniffer報告稱,由於網路釣魚活動,11月對加密貨幣投資者來說又是代價高昂的一個月。總損失達777萬美元,數千人受到影響。
最嚴重的單筆損失源於涉及「permit」簽名的漏洞利用。這項基於EIP-2612的技術允許用戶透過鏈下簽名批准代幣支出,而無需支付Gas費。雖然設計目的是為了方便,但它已成為網路釣魚者的主要目標。攻擊者誘騙用戶簽署一個看似無害的消息,而實際上這授予了詐騙者從用戶錢包中耗盡代幣的權限。122萬美元的盜竊案表明了這種攻擊向量的強大性,因為一個簽名就可以授權大量的資產轉移,而無需受害者直接進行鏈上交易。
網路釣魚攻擊的持續性和日益複雜性透過侵蝕對DeFi和Web3平台安全性的信任,助長了看跌的市場情緒。每一起備受矚目的盜竊案都強化了加密貨幣領域是高風險環境的看法,這可能會阻礙主流採用並招致更嚴格的監管審查。對「permit」簽名等基本區塊鏈功能的利用可能導致監管機構對DApp開發者和錢包提供商施加更嚴格的安全標準,以保護消費者。
網路釣魚活動的技術演變是安全專家關注的一個主要問題。攻擊者不再依賴簡單、易於檢測的詐騙。根據MediaPost的報告,網路釣魚者現在將不可見的Unicode字符和軟連字符嵌入到電子郵件主題行中。這些字符對人眼不可見,但能有效地擾亂基於關鍵字的安全過濾器的內容,從而使惡意電子郵件繞過檢測。
「對你來說,它看起來很正常。但對安全過濾器來說,它看起來是亂碼,沒有明確的關鍵字可以匹配,」科技記者Kurt the CyberGuy解釋道。這使得攻擊者能夠發送具有緊迫感的欺騙性電子郵件,引導用戶訪問虛假的登錄頁面。
此外,威脅範圍不僅限於電子郵件。安全公司Koi Security發現了一個名為「ShadyPanda」的威脅行為者,該行為者已分發了超過100個針對Chrome和Edge的惡意瀏覽器擴展。這些擴展已被超過400萬用戶下載,並作為聯盟欺詐、數據盜竊和遠端代碼執行的後門。它們代表了一種持續的威脅向量,可以記錄用戶擊鍵、竊取Cookie數據和竊取瀏覽器指紋。
這些網路釣魚事件是針對數字平台的網路犯罪升級這一更廣泛趨勢的一部分。例如,電商巨頭Coupang最近的數據洩露導致3370萬客戶的個人信息被盜。雖然這不是直接的加密網路釣魚事件,但此類大規模洩露為攻擊者提供了製作高針對性和令人信服的網路釣魚活動所需的原始數據——姓名、電子郵件地址和電話號碼。
複雜的社會工程、技術漏洞和隨時可用的個人數據的融合,為整個數字資產生態系統帶來了系統性風險。這使得平台有更大的責任開發更具彈性的安全架構,並要求用戶在與應用程式交互和簽署交易時保持高度警惕。