Збитки від фішингу в криптовалютних мережах знизилися на 83%！Новий метод атаки EIP-7702 все ще активний

2025 рік зменшення збитків від фішингу у криптовалютних мережах склало до 83%, до 8,385 мільйонів доларів США, кількість постраждалих зменшилася до 10.6 тисяч. Scam Sniffer попереджає, що екосистема все ще активна, зловмисники переходять до стратегій високочастотних малих сум, середня втрата на одного користувача становить лише 790 доларів. Новий тип атаки EIP-7702 один раз викрав 2.54 мільйони доларів.

Третій квартал бичачого ринку став районом масштабних фішингових атак

Зниження збитків не означає зменшення активності атак, а тісно пов’язане з ринковим циклом. Платформа безпеки Web3 Scam Sniffer аналізує виявлення фішингу на базі характеристик у мережі Ethereum Virtual Machine (EVM), показуючи, що збитки зростають під час активності на ланцюгу, і зменшуються під час охолодження ринку. Третій квартал 2025 року припадає на найсильніший за рік ріст Ethereum (ETH), у цьому кварталі фішингові втрати склали до 31 мільйона доларів, з яких майже 29% припадає на збитки у період з серпня по вересень.

У звіті зазначено: «Коли ринок активний, загальна активність користувачів зростає, і кількість постраждалих також збільшується — ймовірність виникнення фішингу прямо пропорційна активності користувачів». Щомісячні втрати коливалися від 2.04 мільйонів доларів у найспокійнішому грудні до 12.17 мільйонів у найактивнішому серпні, різниця становить 6-кратне зростання. Це свідчить про точковий підхід зловмисників, які атакують у моменти найбільшої активності та розсіяння уваги користувачів.

Глибша причина — зміна поведінки користувачів під час бичачого ринку. Коли ціни на криптовалюти зростають, FOMO (страх пропустити) змушує користувачів активно торгувати новими токенами, брати участь у роздачах та майнінгу ліквідності, що вимагає частого підписання дозволів і створює більше можливостей для фішингу. Зловмисники використовують зниження критичності користувачів у стані збудження, підробляючи сайти популярних проектів, підробляючи офіційні Discord-канали тощо.

Пік у третьому кварталі також пов’язаний з оновленням Ethereum Pectra. Випуск нових функцій протоколу часто супроводжується недостатнім інформуванням користувачів, і зловмисники швидко використовують цей період для розробки нових атак. Такий «інноваційний прорив у технологіях створює безпечне вікно» — цей сценарій неодноразово повторювався у історії криптовалют, від DeFi літа до NFT-буму, кожен технічний прорив супроводжувався новими видами шахрайства.

EIP-7702 відкриває ящик Пандори

2025 рік ознаменувався появою нових шляхів атак. Зловмисники швидко почали використовувати зловмисні підписи на базі EIP-7702 після оновлення Ethereum Pectra, застосовуючи механізм абстракції облікових записів, щоб об’єднати кілька зловмисних операцій у один підпис користувача. У серпні сталося дві масштабні атаки з використанням EIP-7702, що спричинили збитки на 2.54 мільйони доларів, що підкреслює швидкість адаптації зловмисників до змін у протоколі.

EIP-7702 спочатку був створений для покращення досвіду користувачів, дозволяючи зовнішнім обліковим записам (EOA) тимчасово перетворюватися на смарт-контракти, щоб реалізувати масові транзакції та соціальне відновлення. Однак ця гнучкість була використана зловмисниками. Вони підробляли нібито нормальні запити на авторизацію, але у одному підписі приховували кілька зловмисних операцій, наприклад, передачу токенів, зміну прав доступу до облікового запису та встановлення шкідливих агентів.

Ще більш небезпечним є те, що атаки з використанням EIP-7702 мають дуже високий рівень прихованості. Традиційний фішинг зазвичай передбачає явне авторизаційне дозволення токенів, і досвідчені користувачі можуть розпізнати аномалії. Але атаки EIP-7702 можуть маскуватися під легальні оновлення облікових записів або масові авторизації транзакцій, і навіть технічні користувачі можуть бути введені в оману. Інтерфейс гаманця часто не відображає складність таких операцій, і користувачам важко зрозуміти справжній зміст підпису.

Збитки у 2.54 мільйони доларів — це незначна сума, але це лише початкове випробування нової техніки. Дослідники Scam Sniffer попереджають, що з розширенням інтеграції EIP-7702 у гаманці та DApp масштаби та частота таких атак можуть значно зростати. Зловмисники навчаються та вдосконалюють цю техніку, і в майбутньому можуть з’явитися ще більш витончені варіанти.

Від стратегій «один вовк» до «пастки у мережі»: зміна тактики

Зміна стратегій фішингу у криптовалютних мережах має глибокий економічний мотив. Великі атаки приносять високий прибуток за одну операцію, але й ризики великі. Постраждалі частіше повідомляють у поліцію, наймають аналітичні компанії для відстеження коштів, і зловмисники ризикують бути викритими та притягнуті до відповідальності. Навпаки, дрібні високочастотні атаки мають менший ризик і вищу масштабованість. Зловмисники можуть запускати сотні фішингових сайтів одночасно, використовувати AI для створення реалістичних фішингових листів і повідомлень у соцмережах, обробляючи багато жертв масово. Такий «промисловий» підхід знижує вартість кожної атаки і підвищує її ефективність. У звіті зазначено: «Екосистема витоку все ще активна — з часом старі зловмисники йдуть у відставку, і з’являються нові, щоб заповнити вакуцію.»

Три головні зміни у моделях фішингових атак 2025 року

Зменшення кількості великих справ: у 2025 році лише 11 випадків з втратами понад 1 мільйон доларів, що менше ніж 30 у 2024 році. Найбільша фішинг-атака сталася у вересні, з втратами 6.5 мільйонів доларів, з використанням зловмисного Permit підпису.

Різке зниження середніх втрат на одного постраждалого: у середньому кожен постраждалий втратив 790 доларів, що значно менше ніж попереднього року. Це свідчить про перехід з цілеспрямованих нападів на «великих гравців» до масових атак на розсіяних користувачів.

Permit-згоду все ще використовують: у випадках з втратами понад 1 мільйон доларів, атаки на основі Permit і Permit2 становили 38% від загальних збитків, що доводить їхню ефективність і широке застосування.

Атаки на адреси та багатопідписні гаманці — нові фокуси

У грудні 2025 року втрати від хакерських атак і вразливостей у кібербезпеці у криптовалютній сфері знизилися до приблизно 76 мільйонів доларів, що на 60% менше ніж у листопаді, коли було 194 мільйони доларів. PeckShield зафіксувала 26 важливих інцидентів за місяць, що свідчить про зменшення загальної активності, хоча атаки все ще тривають.

Найбільший випадок — шахрайство з адресою на 50 мільйонів доларів, коли зловмисники використовували схожі адреси гаманців, щоб заманити жертв переказати кошти на інші рахунки. Це атака, яка використовує людську візуальну обмеженість: більшість адрес показуються лише першими та останніми символами, а середина опущена. Зловмисники генерують адреси, схожі на цільові, з близькими початковими та кінцевими символами, і надсилають малі транзакції з токенами, щоб створити історію транзакцій. Коли жертва копіює адресу, вона може випадково обрати адресу зловмисника.

Ще один випадок — через витік приватних ключів багатопідписних гаманців, що призвело до втрат на 27.3 мільйони доларів. Багатопідписні гаманці зазвичай більш безпечні, вимагаючи кілька підписів для підтвердження транзакцій. Але неправильне управління ключами, наприклад, збереження у хмарі, передача через ненадійні канали або внутрішні зловживання, робить цю систему вразливою. Цей випадок нагадує, що безпека технічних рішень залежить від людського фактору.

Збитки від фішингу знизилися на 83%, але це не ознака завершення війни. Висновки Scam Sniffer чіткі: екосистема все ще активна, зловмисники просто змінюють тактики. З настанням наступного бичачого ринку збитки можуть знову зрости.