近期,一場針對 DeFi 用戶的釣魚攻擊導致一名用戶損失了 12 枚 Aave Ethereum LBTC,價值約 108 萬美元。
根據 Scam Sniffer 的追蹤與慢霧創辦人余弦的觀察,攻擊者來自一個「並非主力」的釣魚團體,但其手法相當純熟,得手後迅速將資產兌換為 ETH,並透過 Tornado Cash 進行混幣處理。
01 事件深度剖析
近日,區塊鏈安全社群揭露了一起典型的高價值釣魚盜竊案件。受害者在進行鏈上操作時,被誘導簽署了一個惡意的「Permit」簽章。
「Permit」是一種基於簽章的授權機制,允許第三方在無需鏈上交易的情況下,獲得用戶對特定資產的轉移權限。一旦簽署,攻擊者便能合法清空受害者錢包中的對應資產。
本次被盜的 aEthLBTC,是 Aave 協議上的封裝比特幣資產,價值不菲。攻擊得手後,被盜資金流向了兩個錢包地址:0x1CCAF86F3C8C8f7dFCd5Ad37eBc498cdfEb38ff0 和 0x0385E38457feA1B25E8175837fBE67400E0FE9fD。
02 安全態勢與年度數據
這起案件並非孤例,其背後反映出加密釣魚威脅日益複雜且持續演化。
根據 Scam Sniffer 最新發布的 2025 年加密釣魚報告,全年因簽章釣魚造成的損失總額高達 8,385 萬美元,雖然較 2024 年的 4.94 億美元已大幅下降 83%。
報告揭示了幾項關鍵趨勢。Permit 類簽章依然是攻擊者的首選武器,在全年單筆損失超過 100 萬美元的 11 起重大案件中,有 3 起使用了 Permit/Permit2,造成的損失合計 872 萬美元。
其中,2025 年最大單筆簽章釣魚損失發生於 9 月,攻擊者透過 Permit 簽章竊取了價值 650 萬美元的 stETH 與 aEthWBTC 資產。
損失與市場活躍度高度相關。2025 年第 3 季,隨著市場走強及以太坊價格上漲,網路釣魚活動也最為猖獗,當季損失達 3,104 萬美元,占全年總額 37%。
03 威脅演變與新攻擊向量
攻擊技術也在快速進化。2025 年以太坊完成「Pectra」升級並引入 EIP-7702 後,攻擊者迅速發掘出新的利用點。
EIP-7702 允許用戶透過單一簽章授權一系列操作,這為攻擊者帶來更多便利。
升級後不久的 2025 年 8 月,就發生了兩起利用 EIP-7702 批次簽章的大型攻擊,合計造成 254 萬美元損失。
攻擊方式已不再侷限於釣魚網站。供應鏈攻擊、前端劫持及社群媒體帳戶接管等更隱蔽、複雜的手法也日益增多。
例如,攻擊者透過釣魚手段竊取開發者的 npm 發布憑證,進而在熱門開源套件中植入惡意程式碼,形成可自我複製的蠕蟲,最終竊取環境變數與私鑰。
04 用戶如何建立防禦體系
面對不斷升級的威脅,主動防禦是保護資產安全的核心。
首要原則是謹慎面對每一個簽章請求。在簽署任何交易或授權前,尤其是來自不明連結、社群媒體或私訊的請求,務必反覆確認其合法性。仔細核對授權對象、資產種類及授權數量,特別警惕無上限授權。
善用安全工具是第二道防線。可考慮使用 Scam Sniffer 等瀏覽器外掛,這類工具能即時偵測並警告用戶所訪問的網站是否為已知釣魚站。
對於進行大額或複雜 DeFi 操作的用戶,建議使用硬體錢包或專用隔離簽章設備,大幅提升安全性。定期檢查並主動撤銷不常用的授權同樣重要。
05 安全展望與平台責任
儘管數據顯示,2025 年可追蹤的簽章釣魚損失大幅下降,但這絕不代表威脅已消失。
這種下降部分可能是因為攻擊轉向更難追蹤的領域,例如針對私鑰的竊取與高價值目標的定向社交工程攻擊。
作為負責任的交易平台,Gate 深知自身在用戶安全教育上的關鍵角色。我們不僅致力於透過多重簽章冷錢包、風險監控系統等技術手段保障用戶資產安全,更持續透過 Gate Learn 等管道推廣安全知識,協助用戶辨識風險。
加密產業的基礎設施,包括交易平台、錢包服務商與專案方,都需共同努力,在產品設計上落實「最小授權原則」,並提供更明確的授權風險提示。
當您在 Gate 進行交易時,可以相對安心。我們的系統旨在為加密資產提供安全託管。即便如此,仍請對任何非官方管道的「高收益」誘惑保持高度警覺。
未來展望
2026 年 1 月 4 日,加密市場於波動中持續發展。以太坊對比特幣的匯率約為 0.03443 BTC,市場焦點也關注宏觀經濟走向,例如美聯準會於 1 月降息 25 個基點的機率,市場評估為 16.6%。
無論市場如何變化,有一點始終不變:安全始終是加密世界的核心議題。百萬美元損失往往源於一個不經意的簽章,而守護資產的第一步,就是養成比攻擊者更謹慎的習慣。
