加密詐騙損失激增200%，攻擊者追蹤“巨鯨”

2026年1月，加密貨幣釣魚損失激增207%，達到630萬美元，攻擊者轉向針對高價值錢包。了解“鯨魚狩獵”策略、毀滅性的“地址中毒”詐騙，以及在這個新威脅格局中保護資產的關鍵步驟。

2026年令人擔憂的開端：釣魚攻擊演變與升級

新的一年帶來了加密貨幣犯罪的危險演進。根據區塊鏈安全公司 Scam Sniffer 的報告，2026年1月，簽名釣魚攻擊的損失月增率高達207%，約為630萬美元。儘管受害者總數下降11%，但這一劇烈增長揭示了邪惡的策略轉變。

網絡犯罪分子不再為小額獲利撒網，而是轉向精準打擊高淨值個人，這種策略被稱為“鯨魚狩獵”。這種向質量重於數量的轉變意味著，雖然受害人數較少，但每次事件的財務損失卻高得驚人。更令人擔憂的是，行業曾遭遇一次“地址中毒”攻擊，造成高達1225萬美元的巨大損失。這些令人震驚的數據表明，錢包安全必須成為所有投資者，尤其是持有大量資產者的首要任務。

一月數據令人震驚：被盜資產激增207%

Scam Sniffer 的數據清楚呈現了新威脅格局。2025年12月，簽名釣魚的損失較低，但到2026年1月，該數字激增至630萬美元。最具代表性的統計數據是損失的集中度：僅兩名受害者就佔了1月被盜資產的近65%。

這種極端集中是“鯨魚狩獵”策略的典型特徵。攻擊者利用高級情報，可能來自鏈上分析和社交工程，來識別並鎖定高額餘額的錢包。1月最大的一起簽名釣魚事件中，一名用戶在被騙簽署惡意交易後損失了302萬美元。這一轉變表明，攻擊者投入更多資源，策劃少數但更有利可圖的盜竊行動。對加密生態系統而言，整體風險已改變；威脅不再是普遍的滋擾攻擊，而是針對性、毀滅性的入侵。

行業反應迅速。著名多簽錢包 Safe（前 Gnosis Safe）的開發商 Safe Labs，識別並警告用戶一個協調的社交工程攻擊，該攻擊利用約5000個惡意地址模仿合法地址。這種大規模、有組織的行動進一步凸顯了這些釣魚操作的專業化。

簽名釣魚與地址中毒：理解雙重威脅

為了防範這些攻擊，用戶首先必須了解兩種主要破壞手段：簽名釣魚和地址中毒。

簽名釣魚利用Web3錢包的交易批准機制。攻擊者創建假冒網站或彈窗，誘使用戶簽署惡意的“許可”、“增加授權”或“設置全權批准”函數。與轉移特定金額的交易不同，這些簽名授予攻擊者無限、持續的許可，未來任何時候都可以抽取受害者錢包中的特定代幣。用戶可能以為自己只是在批准簡單的交換或登錄，但實際上卻是在交出控制權。

地址中毒，又稱“類似攻擊”，是一種較為被動但同樣殘忍的詐騙手法。攻擊者從一個偽造地址向目標錢包發送一個微不足道、毫無價值的交易。該偽造地址經過精心生成，與受害者交易記錄中已存在的合法地址的前後幾個字符相匹配（例如交易所存款地址）。攻擊者希望受害者日後轉帳時，僅憑一眼查看歷史記錄，就能複製該中毒地址，而不去核實完整、複雜的字串。這在一月造成了最大損失，達到1225萬美元。

現代加密釣魚攻擊的運作機制

1. 偵察： 攻擊者利用鏈上數據尋找高價值錢包或常用地址（如交易所存款地址）。

2. 欺騙： 在簽名釣魚中，他們創建假冒的DApp界面或廣告；在地址中毒中，則生成“花哨”的類似地址。

3. 執行： 他們誘使受害者簽署惡意合約，或利用受害者的匆忙行為複製中毒地址。

4. 盜竊： 有了簽名許可，他們可以隨意抽取資產；有了中毒地址，資金則直接轉入他們的錢包。

大局觀：2025年趨勢展現動盪戰場

儘管一月的激增令人擔憂，但將其放在去年背景下觀察尤為重要。 Scam Sniffer 的2025年年度報告顯示，整體加密釣魚損失實際下降了83%，從2024年的近5億美元降至8385萬美元。這一整體下降歸因於用戶意識提升、錢包安全功能改善，以及主要“錢包掏空”工具的中斷。

然而，2025年的數據也揭示了預示一月激增的重要模式。損失與市場活動高度相關。2025年第三季度（Q3）是釣魚最活躍的時期，損失達3104萬美元，與比特幣和以太坊的強勁反彈同步。這表明攻擊者在用戶參與度和交易量高漲時會加大攻勢。此外，年度報告指出，複雜的“Permit”式簽名攻擊佔所有超過100萬美元盜竊的38%，其中包括年度最大的一筆，損失650萬美元的質押ETH和包裹BTC。

這段歷史經驗告訴我們，釣魚是一個循環且具有適應性的威脅。雖然2025年整體防禦有所提升，但攻擊者已經改進策略，專注於高價值目標和更複雜的社交工程，以突破提升的安全意識。戰場已經轉移，而非縮小。

如何保護自己：基本的加密安全實踐

面對這些演變的威脅，積極防禦是必不可少的。每個加密貨幣持有者都必須採取以下關鍵措施：

1. 核實，再核實： 絕不要在未仔細檢查整個字母數字串的情況下，直接複製交易記錄中的地址。始終使用經過驗證的書籤或官方來源獲取交易所存款地址。一個字符的錯誤就可能導致全部資產損失。

2. 了解你簽署的內容： 對每個錢包簽名請求都要保持高度警惕。在簽署任何交易前，務必核查請求網站的URL，並在區塊瀏覽器上檢查合約地址，使用錢包功能解碼你授予的具體許可。切勿簽署來路不明的彈窗或鏈接中的簽名請求。

3. 利用錢包安全功能： 選用提供交易模擬和權限說明的錢包。考慮使用專門的“熱錢包”存放日常操作資金，並用更安全的“冷錢包”或多簽錢包（如 Safe）存放大量資產。這次釣魚活動針對 Safe 用戶，因為它持有大量資金，但其多簽特性仍提供更高保障。

4. 保持資訊更新並保持懷疑： 追蹤 Scam Sniffer 等安全公司，獲取新威脅資訊。對任何看似過於誘人或催促立即行動的空投、空投或客服訊息保持警惕。高級釣魚攻擊如今常涉及長期社交工程，甚至在 Discord 或 X 等平台上進行。

2026年初加密釣魚損失的劇增是一個警示。低技能、大規模垃圾郵件攻擊的時代正在讓位於一個高度針對性、研究驅動的金融掠奪新階段。對個人而言，個人安全衛生是你最重要的防線。對行業而言，持續創新用戶友好的安全工具、教育和透明的交易解碼至關重要。在去中心化的世界裡，最終的安全責任在於用戶——知識就是你最寶貴的資產。