TLDR

• 2025年加密貨幣釣魚攻擊損失較前一年下降83%。
• 全球共有106,106名受害者因錢包清空釣魚詐騙損失總計8,385萬美元。
• 比特幣與以太坊市場強勁反彈期間，第三季損失達到全年最高。
• 2025年最大單起釣魚竊案透過Permit樣式簽名手法，造成650萬美元損失。
• 僅11起案件損失超過100萬美元，相較2024年的30起顯著減少。

(SeaPRwire) –   Scam Sniffer本週發布報告指出，2025年加密貨幣釣魚攻擊損失較2024年大幅下降逾83%，攻擊者透過錢包清空詐騙竊取8,385萬美元，全球106,106名使用者受害。相較前一年逾33萬名受害者損失近5億美元，攻擊規模與結果出現大幅變化。

第三季帶動加密釣魚攻擊激增

根據Scam Sniffer數據，2025年第一季損失2,194萬美元，影響超過22,000名使用者。報告顯示，2025年初市場活動放緩時，釣魚企圖也隨之減少。

第二季市場開始復甦，損失降至1,778萬美元，約21,000名受害者受影響。Scam Sniffer認為，使用者參與度降低是釣魚攻擊成功率下降的原因。

第三季是全年最活躍時期，比特幣與以太坊反彈期間損失飆升至3,104萬美元，40,000名受害者遭殃。8月與9月合計占全年釣魚損失的29%。

第四季損失再度降至1,309萬美元，為2025年最低季度。隨著市場趨穩及使用者參與度下降，釣魚活動放緩。

重大竊案運用Permit與授權漏洞

最昂貴的竊案發生在9月，攻擊者利用Permit樣式釣魚簽名，竊取價值650萬美元的質押ETH與包裝BTC。此類攻擊占100萬美元以上竊案的38%。

Permit與Permit2允許無需轉帳的授權操作，易被濫用。攻擊者將惡意提示偽裝成常規錢包授權請求。

5月，一宗授權升級漏洞竊取313萬美元的包裝BTC；8月則有305萬美元穩定幣透過直接轉帳詭計被竊。

2025年僅11起竊案損失超過100萬美元（2024年為30起）。受害者平均損失也從前一年的近1,500美元降至790美元。

Lazarus資安事件與Google Task釣魚案為年度收尾

2月發生一起14.6億美元竊案，涉及Bybit錢包供應商的開發者系統遭駭。攻擊者注入惡意程式碼偽造授權提示。

這起供應鏈攻擊是年度最大規模事件之一，運用社會工程學與惡意軟體注入攻擊簽名介面。

全年來，攻擊者透過釣魚郵件、劫持前端頁面及後門開源函式庫散佈錢包惡意軟體，這些手法導致大範圍私鑰被竊。

12月，攻擊者向超過3,000家製造商發送偽造Google Task郵件，受害者點擊任務按鈕後進入釣魚網頁。

這些郵件利用合法應用整合工具避開過濾器，順利進入收件箱並欺騙員工，未觸發警示。