本报告分析 EVM 生态中 Wallet Drainer 钓鱼攻击的最新趋势,帮助从业者和用户更好地保护资产。
摘要
- 总损失: $8385 万,受害者 106,106 人 — 较 2024 年分别下降 83% 和 68%
- 最大单笔被盗: $650 万,通过 Permit 签名(9月)
- 主要签名类型: Permit 仍是主导;EIP-7702 恶意签名在 Pectra 升级后出现,8 月有 2 起大额案例
宏观背景
2025 年,签名钓鱼损失从 $4.94 亿骤降至 $8385 万 — 但威胁并未消失,损失随市场周期起伏波动。
市场关联性: 钓鱼损失与市场活跃度密切相关。Q3 市场涨幅最强,钓鱼损失也最高($3100 万)。市场活跃时整体用户活跃度增加,部分用户难免中招。
- 观察: 月度损失在 $204 万(12月)至 $1217 万(8月)间波动,与市场周期相关
- Q3 高峰: 8-9 月占全年损失的 29%,正值市场最活跃时期
- Q4 回落: 市场降温后,损失降至 $1300 万
概述
定义
- Wallet Drainer: 部署在钓鱼网站上的恶意脚本,诱导用户签署恶意交易或授权,从而快速盗取资产
- 签名钓鱼: 通过钓鱼网站诱骗受害者签署恶意授权(approve、permit、setApprovalForAll 等)
方法论
- 范围: EVM 兼容链
- 统计范围:仅包含通过钓鱼网站部署的 Wallet Drainer 攻击;不含直接黑客攻击、交易所入侵、合约漏洞利用等其他盗窃类型
- 估值: 被盗时的美元价值
- 局限性: 数据为下限估计,仅基于可追踪的 Drainer 活动,未覆盖未上报案例
关键数据对比
| 指标 | 2025 | 2024 | 2023 | 同比变化 |
|---|---|---|---|---|
| 总损失 | $8385 万 | $4.94 亿 | $2.95 亿 | -83.0% |
| 受害者 | 106,106 | 332,000 | 324,000 | -68.0% |
| 最大单笔被盗 | $650 万 | $5548 万 | $2405 万 | -88.3% |
| 大额案例(≥$100 万) | 11 | 30 | 13 | -63.3% |
损失分析
月度明细
| 月份 | 损失 | 受害者 | 环比 |
|---|---|---|---|
| 1月 | $1025 万 | 9,220 | -56% |
| 2月 | $532 万 | 7,442 | -48% |
| 3月 | $637 万 | 5,992 | +20% |
| 4月 | $529 万 | 7,565 | -17% |
| 5月 | $969 万 | 7,547 | +83% |
| 6月 | $280 万 | 5,862 | -71% |
| 7月 | $709 万 | 9,143 | +153% |
| 8月 | $1217 万 | 15,230 | +72% |
| 9月 | $1178 万 | 15,513 | -3% |
| 10月 | $328 万 | 10,935 | -72% |
| 11月 | $777 万 | 6,344 | +137% |
| 12月 | $204 万 | 5,313 | -74% |
季度汇总
| 季度 | 损失 | 受害者 | 人均损失 | 市场 |
|---|---|---|---|---|
| Q1 | $2194 万 | 22,654 | $969 | 下跌 |
| Q2 | $1778 万 | 20,974 | $848 | 复苏 |
| Q3 | $3104 万 | 39,886 | $778 | 强势上涨 |
| Q4 | $1309 万 | 22,592 | $580 | 回调 |
关键观察
- 市场-损失关联: Q3 损失最高($3100 万),与市场强势上涨同步;市场活跃度越高,潜在受害者越多
- 11 月异常: 损失增加 137% 但受害者减少 42%,人均损失升至 $1,225 — 属于月度波动,暂未形成趋势
- 12 月降温: 全年最低($204 万),年末市场活跃度下降
大额被盗分析
超过 $100 万的案例
| 金额 | 资产 | 日期 | 签名类型 |
|---|---|---|---|
| $650 万 | stETH, aEthWBTC | 9月 | Permit |
| $313 万 | WBTC | 5月 | increaseApproval |
| $305 万 | aEthUSDT | 8月 | Transfer |
| $182 万 | cUSDCv3 | 3月 | Transfer |
| $154 万 | 多种资产 | 8月 | EIP-7702 batch |
| $143 万 | 多种资产 | 4月 | Approve |
| $123 万 | Uniswap V3 NFTs | 7月 | setApprovalForAll |
| $122 万 | aPlaUSDT0 | 11月 | Permit |
| $106 万 | sUSDf, USDe | 7月 | Approve |
| $100 万 | 多种资产 | 8月 | EIP-7702 batch |
| $100 万 | RLB | 1月 | Uniswap Permit2 |
大额案例总损失: $2298 万(占全年 27%)
签名类型分布(>$100 万案例)
| 类型 | 案例数 | 总损失 |
|---|---|---|
| Permit / Permit2 | 3 | $872 万 |
| Transfer | 2 | $487 万 |
| Approve / increaseApproval | 3 | $562 万 |
| EIP-7702 batch | 2 | $254 万 |
| setApprovalForAll | 1 | $123 万 |
攻击趋势
- EIP-7702 利用: Pectra 升级后不久即出现,攻击者利用账户抽象特性,将多个恶意操作打包进单次签名。8 月出现最大额案例(2 起共 $254 万)
- 大额案例集中在 Q3: 11 起大额案例(≥$100 万)中有 6 起发生在 7-9 月,与市场高峰期同步
- Permit 主导: Permit/Permit2 签名占大额案例损失的 38%
对比:2023 → 2024 → 2025
| 维度 | 2023 | 2024 | 2025 |
|---|---|---|---|
| 总损失 | $2.95 亿 | $4.94 亿 (+67%) | $8385 万 (-83%) |
| 受害者 | 32.4 万 | 33.2 万 (+3%) | 10.6 万 (-68%) |
| 人均损失 | $910 | $1,488 | $790 |
| 主要签名类型 | Permit/Approve | Permit/setOwner | Permit |
| 主要 Drainer | Inferno, MS, Pink | Inferno, Angel | 新 Drainer 出现 |
签名钓鱼之外
本报告聚焦于 Wallet Drainer 攻击,更大的威胁图景还包括:
- Bybit 事件(2月,$14.6 亿): Lazarus 入侵 Safe{Wallet} 开发者设备,注入恶意代码伪造多签界面 — 单起事件相当于全年签名钓鱼损失的 17 倍
- 供应链攻击: npm 发布凭证遭钓鱼窃取,攻击者借此向开源包植入恶意代码;自传播蠕虫感染数百个包,窃取环境变量和凭证
- 前端入侵: 恶意交易请求被注入合法平台界面
- 社交媒体劫持: 项目 X 账号被盗发布钓鱼链接
- 恶意软件与信息窃取: 虚假验证页面、恶意 Telegram 机器人、DPRK IT 人员渗透 — 针对私钥和凭证
展望
损失下降 ≠ 威胁消失。
- 若市场活跃,钓鱼活动可能随之上升 — 钱包安全集成和用户教育仍是关键防线
- 可追踪损失的下降,部分原因可能是攻击转向更难追踪的形式 — 私钥泄露和定向社工攻击不在 Drainer 统计范围内
- 威胁格局正在分化:针对散户的大规模钓鱼 vs 针对高价值目标的复杂供应链/APT 攻击
- Drainer 生态系统仍然活跃 — 旧 Drainer 退场,新 Drainer 补位
数据会变,威胁不会消失。保持警惕。
Scam Sniffer Research | 2025 年 12 月
