区块链安全公司Scam Sniffer警告称,签名钓鱼在2026年1月出现大幅激增,损失总计627万美元,导致4700个钱包被清空——比12月增长了207%。
签名钓鱼发生在攻击者诱导用户访问恶意去中心化应用程序(dApps),并提示用户签署链外消息。虽然请求看似无害——如批准代币存入或列出NFT——但签名实际上可能授权无限制的代币支出或NFT转移,从而让攻击者随后清空钱包。
有人因从交易记录中复制错误地址,1月份损失了1225万美元。去年12月,另一名受害者也以同样的方式损失了5000万美元。
两名受害者。6200万美元已失。
签名钓鱼也在激增——在4,741名受害者中被盗627万美元(+207%对比12月)。
典型案例:
· 302万美元——… pic.twitter.com/7D5ynInRrb— Scam Sniffer | Web3 反诈骗 (@realScamSniffer) 2026年2月8日
2026年1月的激增与过去一年加密钓鱼整体下降形成对比。Scam Sniffer报告称,2025年在以太坊和基于EVM的链上,总钓鱼损失为8385万美元,涉及106,106名受害者,价值下降83%,受害者人数下降68%,与2024年相比。
上月的损失高度集中。两钱包约占通过钓鱼和其他攻击总盗款的65%,其中包括通过涉及SLV和XAUt代币的permit和increaseAllowance攻击获取的302万美元,以及通过permit攻击清空的108万美元。
除了签名钓鱼外,Scam Sniffer还指出地址中毒和permit诈骗是主要原因。地址中毒攻击者向目标发送微小交易或尘埃(dust),使用与合法地址非常相似的地址。当用户后来从交易记录中复制地址时,可能无意中将资金发送到攻击者控制的仿冒地址。
Ethereum的Fusaka升级改变了诈骗经济学
研究人员表示,地址中毒等手段在Ethereum的Fusaka升级后变得更具吸引力,该升级大幅降低了交易费用。区块链研究员Andrey Sergeenkov发现,上月新地址创建激增,一周内新增了270万地址,约比平常水平高出170%。他表示,大约三分之二的新地址首次交易时收到的稳定币少于1美元,这与大规模地址中毒活动一致。
Sergeenkov认为,较低的Ethereum手续费改变了大规模中毒攻击的经济学。虽然转化率仍然极低,但发送数百万尘埃交易的成本降低,使得这种策略变得可行,现在的利润来自少数高价值的错误。
除了确保用户检查交易,理解签名内容或资金去向外,钱包还在尝试引入限制攻击风险的功能。
Twinstake的产品负责人Tara Annison表示,钱包越来越多地添加交易模拟、明确的警告和预执行检查,以标记高风险交互。“Rabby会进行预执行模拟,如果你与已知恶意智能合约交互或交易中隐藏逻辑,它会警告你,”她告诉_Decrypt_。
Meanwhile,MetaMask“会在你连接的站点看起来像钓鱼网站时发出明显警告,并在交易可能涉及资产不当操作时提供人类可读的警告,”Annison说。她补充说,钱包将此类安全功能“放在首位,以避免你签署不该签的内容。”
_Decrypt_已联系以太坊基金会寻求评论。
相关文章
