签名钓鱼攻击激增200%，一月份损失突破600万美元

区块链安全机构示警：签名钓鱼攻击激增

近期数据显示，签名钓鱼攻击呈现急剧上升态势。仅今年一月，因此类攻击造成的损失已达六百二十七万美元，约四千七百个钱包遭清空，较去年十二月增幅高达百分之二百零七。

签名钓鱼通常指攻击者诱导用户访问恶意去中心化应用，诱骗其签署链下消息。这些请求表面看似无害——例如批准代币存款或上架非同质化代币——实际却可能授权无限代币支出或资产转移，使得攻击者得以盗取钱包资产。

与整体趋势背道而驰

此次激增与过去一年加密钓鱼攻击整体下降趋势形成反差。据统计，去年基于以太坊及虚拟机链的钓鱼攻击损失总额约为八千三百八十五万美元，涉及受害者十万六千一百零六人，较前一年损失金额下降百分之八十三，受害人数减少百分之六十八。

上月损失呈现高度集中态势。其中两个钱包的损失约占钓鱼及其他攻击盗取总额的百分之六十五，包括因涉及特定代币的授权漏洞攻击损失的三百零二万美元，以及通过许可攻击损失的一百零八万美元。

攻击手段持续演变

除签名钓鱼外，地址投毒与授权欺诈亦是主要攻击形式。地址投毒者会向目标发送微量交易，并使用与受害人曾交互过的合法地址高度相似的伪造地址。当用户后续从交易记录中复制地址时，可能误将资金转入攻击者控制的仿冒地址。

研究人员指出，自以太坊网络升级大幅降低交易费用后，此类攻击手段的吸引力显著增强。区块链研究者发现，上月新增地址数量急剧上升，单周新增达二百七十万个，较常态水平高出约百分之一百七十。约三分之二的新地址首次交易收到的稳定币金额低于一美元，这与大规模地址投毒活动的特征相符。

研究者分析认为，以太坊费用降低改变了大规模投毒攻击的成本结构。尽管攻击成功率仍极低，但发送海量微小交易的成本下降使得该策略具备可行性，攻击者通过极少数高价值操作失误即可获利。

安全防护措施升级

为确保用户谨慎核查交易内容、充分理解签署内容及资金流向，钱包服务商正积极引入风险控制功能。行业产品负责人表示，当前钱包正普遍增强交易模拟、风险提示及执行前检测机制，以标识危险交互行为。

她指出，部分钱包会在执行前进行模拟检测，当用户与已知恶意智能合约交互或交易中存在隐藏逻辑时发出警告。另一主流钱包则会在连接疑似钓鱼网站时给予醒目提示，并在交易涉及资产风险时提供通俗易懂的警示信息。她补充道，钱包服务商正将此类安全功能置于核心位置，以避免用户误签有害操作。