Потери от фишинга в криптовалютных сетях снизились на 83%! Новая атака по EIP-7702 все еще активна

Убытки от криптофишинга в 2025 году снизились до $8,385K, что стало падением на 83%, а число жертв сократилось до 10,6 тысяч. Scam Sniffer предупредил, что экосистема всё ещё активна, и злоумышленники переходят к небольшим высокочастотным методам с средним убытком всего в 790 долларов на человека. Новая атака EIP-7702 принесла мошенничество на $254K за одну атаку.

Бычий рынок стал наиболее пострадавшей зоной фишинга в третьем квартале

Снижение убытков — это не снижение активности атак, а тесно связано с рыночными циклами. Платформа безопасности Web3 Scam Sniffer проанализировала фишинг на основе признаков в цепочке виртуальной машины Ethereum (EVM) и обнаружила, что убытки увеличивались в периоды активной активности на блокчейне и уменьшались при охлаждении рынка. Третий квартал 2025 года совпал с самым сильным ралли Ethereum (ETH) в этом году: убытки от фишинга достигли 31 миллиона долларов за квартал, а убытки с августа по сентябрь составили почти 29% убытков за год.

«Когда рынок активен, общая активность пользователей увеличивается, и доля жертв также увеличивается — вероятность фишинга положительно коррелирует с активностью пользователей», — говорится в отчёте. Ежемесячные убытки колебались 6 раз: с $204K в декабре, когда рынок был самым спокойным, до $1217K в августе, когда рынок был наиболее активным. Эта корреляция показывает точное время у злоумышленников, которые запускают атаки в самые активные и отвлечённые пользователи.

Глубокая причина — изменение поведения пользователей во время бычьего рынка. Когда цены на криптовалюты растут, страх упустить что-то (FOMO) заставляет пользователей часто торговать новыми токенами, участвовать в airdrop-файлах и фарме доходов — активности, требующие частых авторизаций, что создаёт больше возможностей для фишинга. Злоумышленники используют сниженное суждение пользователей в состоянии возбуждения, чтобы обмануть подписи, подделывая популярные сайты проектов, фейковые официальные Discord-каналы и многое другое.

Пик в третьем квартале также был связан с обновлением Ethereum Pectra. Введение новых функций протокола часто сопровождается недостаточным обучением пользователей, и злоумышленники быстро используют это окно для разработки новых методов атаки. Эта тенденция «технологические инновации приносят окно безопасности» неоднократно встречалась в истории криптовалют — от летних каникул DeFi до ухода на NFT, при этом каждый технологический прорыв сопровождался появлением новых видов мошенничества.

EIP-7702 Открыть ящик Пандоры

2025 год ознаменовал появление новых векторов атаки. Вредоносные подписи на основе EIP-7702 появились вскоре после обновления Ethereum Pectra, когда злоумышленники использовали механизмы абстракции аккаунта, чтобы объединить несколько вредоносных действий в одну пользовательскую подпись. Две значительные атаки EIP-7702 в августе привели к убыткам в размере 254 тысяч долларов, что подчёркивает быструю адаптацию злоумышленников к изменениям на уровне протокола.

EIP-7702 — это технологическое обновление, изначально разработанное для улучшения пользовательского опыта, позволяющее временно конвертировать внешние аккаунты (EOA) в аккаунты смарт-контрактов, что позволяет таким функциям, как пакетная торговля и социальное восстановление. Однако эта гибкость используется для нападающих. Они подделывали, казалось бы, обычные запросы на авторизацию, но на самом деле скрывали несколько вредоносных действий в одной подписи, таких как авторизация передачи токенов, изменение прав учетных записей и установка вредоносных агентов.

Что ещё хуже, атаки EIP-7702 очень скрытные. Традиционный фишинг обычно требует явной авторизации токенов, и опытные пользователи могут выявлять аномалии. Однако атаки EIP-7702 могут быть замаскированы под легитимные обновления аккаунта или авторизацию массовых транзакций, а даже технических пользователей могут обмануть. Интерфейс кошелька часто отображает такие сложные операции без ясности, что затрудняет понимание истинного значения подписи.

Потеря в $254K не огромна, но это лишь первый тест нового подхода. Исследователи Scam Sniffer предупреждают, что по мере того, как всё больше кошельков и DApp интегрируют возможности EIP-7702, масштаб и частота подобных атак могут значительно увеличиться. Злоумышленники изучают и оптимизируют эту технику, и в будущем могут появиться более сложные варианты.

Стратегический сдвиг от охоты на одиночку к рыболовству сетями

За стратегическим сдвигом в криптовалютном фишинге стоит глубокая экономическая логика. Хотя крупная атака приносит большую единичную прибыль, она также рискованна. Жертвы чаще вызывают полицию, нанимают онлайн-аналитические компании для отслеживания средств, а злоумышленники сталкиваются с более высоким риском и юридическими рисками. В то же время небольшие, высокочастотные атаки, несмотря на низкую индивидуальную доходность, часто предпочитают признать, что им не повезло, а не преследуют, а правоохранительные органы не имеют ресурсов для расследования каждого мелкого дела.

Более того, небольшие атаки более масштабируемы. Злоумышленники могут одновременно запускать сотни фишинговых сайтов с помощью автоматизированных инструментов, используя искусственный интеллект для создания реалистичных фишинговых писем и сообщений в социальных сетях для пакетных жертв. Эта «индустриализированная» мошенническая модель снижает стоимость одной атаки и повышает общую эффективность. «Дренажная экосистема остаётся активной — по мере ухода старых дренажных каналов появятся новые, чтобы заполнить пробелы», — заключается в докладе.

Три основных изменения в схемах фишинговых атак в 2025 году

Количество крупных случаев резко сократилось: Только 11 случаев в 2025 году потеряли более $100k, по сравнению с 30 в 2024 году. Крупнейшая фишинговая атака произошла в сентябре с участием 650 тысяч долларов и злонамеренной подписи Permit.

Потеря жертв на душу населения резко сократилась: Средняя потеря на одну жертву снизилась до $790, что значительно меньше по сравнению с предыдущим годом. Это показывает, что злоумышленники перешли от точной охоты за «крупными инвесторами» к широкой сетевой стратегии против розничных инвесторов.

Разрешение на получение разрешений по-прежнему остаётся основной основой: В инцидентах с убытками более 100 долларов атаки, основанные на разрешениях Permit и Permit2, составляли 38% от общих потерь, что доказывает, что эта техника по-прежнему эффективна и широко используется.

Отравление адресов и уязвимости с множественными сигнатурами стали новым направлением

Потери от взломов, связанных с криптовалютами, и утечок кибербезопасности снизились примерно до $7,600 в декабре 2025 года, что на 60% меньше по сравнению с $1,942 млн в ноябре. PeckShield зафиксировал 26 значительных инцидентов за месяц, что свидетельствует о замедлении общих потерь, несмотря на продолжающуюся активность атак.

Крупнейшее дело касалось мошенничества с отравлением адресов на сумму 5000 долларов, когда злоумышленники использовали похожие адреса кошельков, чтобы обмануть жертв и заставить их перевести средства на другие счета. Эта атака использует ограничения человеческого зрения: большинство адресов кошельков отображаются как первая и последняя цифры, а средняя часть опущена. Злоумышленник генерирует адрес с похожими символами до и после целевого адреса, отправляет жертве небольшие токены для создания записей транзакций и может ошибочно выбрать адрес злоумышленника, когда жертва копирует адрес.

В другом случае было потеряно $2,730 из-за утечки приватного ключа, связанной с кошельком с несколькими подписями. Многоподписные кошельки теоретически более безопасны и требуют одобрения транзакций несколькими подписантами. Однако если приватные ключи не управляются должным образом, например, хранятся в облаке, распространяются через незащищённые каналы или скомпрометируются инсайдерами, защита от множественной подписи становится бесполезной. Этот случай напоминает нам, что безопасность технических решений в конечном итоге зависит от управления человеком.

Убытки от фишинга снизились на 83%, но это не признак окончания войны. Вывод Scam Sniffer ясен: экосистема всё ещё жива, а нападающие просто изменили тактику. С наступлением следующего бычьего рынка убытки могут снова резко вырасти.