網路安全公司 Scam Sniffer 發布的 2026 年 1 月安全報告揭露了加密貨幣領域一個令人警醒的趨勢:釣魚攻擊正變得更加針對性且破壞力驚人。數據顯示,僅 1 月份簽名釣魚攻擊就造成約 627 萬美元的損失,受害者多達 4,741 人。
攻擊升級
2026 年開年,加密貨幣安全情勢急轉直下。與過去廣泛撒網的策略不同,網路犯罪分子開始集中火力「捕鯨」。Scam Sniffer 報告指出,僅兩名高資產受害者就承擔了 1 月份簽名釣魚總損失的近 65%。
最大單筆損失高達 302 萬美元,原因在於用戶簽署了一個惡意的「permit」或「increaseAllowance」函數。這類授權一旦簽署,攻擊者便能從受害者錢包中無限轉移代幣,無需為每筆交易單獨獲得批准。
雙重威脅
目前針對加密錢包的威脅主要呈現兩種高度專業化型態:簽名釣魚與地址投毒。簽名釣魚是透過誘導用戶簽署惡意智能合約授權來進行攻擊。而地址投毒則更加隱蔽,利用用戶的交易習慣進行精確打擊。
攻擊者會生成與用戶常用地址極為相似的「虛榮地址」或「相似地址」,這些偽造地址的首尾字符與真實地址完全一致。接著,攻擊者會向受害者發送極小金額或零價值的交易,使這些惡意地址出現在用戶的交易歷史紀錄中。當用戶後續需要向該真實地址轉帳時,若習慣性從歷史紀錄中複製,極有可能誤選被「投毒」的地址,導致資金全部落入攻擊者手中。
真實代價
一月的安全事件為這兩種攻擊方式提供了殘酷的註解。在簽名釣魚領域,單筆損失已突破 300 萬美元。地址投毒造成的損失則更為驚人,單一投資者因複製交易紀錄中的錯誤地址,一次性損失了 1,225 萬美元。
這並非孤例,2025 年 12 月,另一名受害者也因同樣手法損失了 5,000 萬美元。攻擊者在其測試轉帳 50 USDT 後,立即偽造了首尾四字符相同的地址進行投毒。當受害者進行大額轉帳時,從歷史紀錄中複製了錯誤地址,導致災難性後果。
防禦指南
面對日益精密的攻擊手法,普通用戶必須建立多層次防禦體系,從操作習慣到技術工具全面升級。
首先,永遠不要從交易歷史中複製地址。地址投毒正是利用了用戶的這一習慣。手動輸入或使用地址簿是更安全的選擇。
其次,在進行任何轉帳前,務必完整驗證接收地址的全部字母數字字串,而非僅僅檢查首尾幾位字符。對於高價值轉帳,先執行小額測試交易是至關重要的驗證步驟。待確認地址無誤後,再進行大額資金轉移。
此外,謹慎對待每一個簽名請求。在簽署任何智能合約授權前,仔細審查其請求的權限範圍,避免授予無限或過於寬泛的資金存取權限。
智能防護
技術手段同樣是防範攻擊的重要組成部分。使用硬體錢包儲存大額資產是業界公認的最佳做法,能將私鑰與網路隔離。
啟用多重驗證同樣至關重要,但應優先選擇基於身分驗證器應用的方式,而非安全性較低的簡訊驗證。對於常用地址,將其保存在錢包的地址簿或白名單中,可有效避免因手動輸入錯誤或複製錯誤地址而導致的損失。
最後,保持錢包軟體與安全工具的即時更新。開發人員會透過更新修補已知漏洞,這是維持系統安全的基本措施。
數位黃金也需要實體保險箱。就在安全事件頻繁發生的同時,加密貨幣市場正經歷劇烈波動。根據 Gate 行情數據,截至 2 月 9 日,比特幣價格報 70,638.2 美元,市值達 1.41 兆美元,24 小時交易量達 8.0157 億美元。與此同時,以太坊價格為 2,084.02 美元,Solana 則穩定在 87.22 美元。比特幣占據 56.14% 的市場主導地位。Safe Labs 已識別出約 5,000 個惡意地址的協同攻擊活動,而柴犬團隊也向社群轉發了這一安全警告。
