1 月加密钓鱼 3.11 亿美元损失复盘:钱都是怎么丢的?
我看到 2026 年一月「加密钓鱼单月损失 3.11 亿美元」这个数字的时候,没有去查头部受害者是谁,而是先做了一件事:把 CertiK、PeckShield、Scam Sniffer 这几家在月报里披露的样本逐笔扒一遍,归类出钱具体是从哪几条路径丢出去的。这件事比那个总数本身有用得多。
3.11 亿这个数字摊在一年里看其实并不离谱——按这个节奏推全年是 30 多亿。但浓缩在一个月里,背后只能有一种解释:钓鱼基础设施的产能跟着市场情绪一起放大了。
损失结构的大头:单一巨额事件
3.11 亿这个总数里,最大单笔事件自己就贡献了上亿美元。按公开复盘,那笔损失来自一名长期持币者在一次伪装成机构沟通的私聊里签了一个 setApprovalForAll,把整个 NFT + ERC-20 资产组合的转账权全部交出。
我想强调的是:这并不是一次「新型」攻击。setApprovalForAll 这一类授权钓鱼已经存在好几年,相关识别要点我也写过 授权钓鱼专题。它之所以还能在 2026 年制造上亿损失,原因有三条:
- 目标定位更精准:攻击者通过链上画像锁定大额持仓地址。
- 社工剧本更深:不再是直接发链接,而是模拟一段长达数天的「机构对接」。
- 签名拦截工具的盲区:很多签名拦截工具只对 transfer 类调用敏感,对纯粹的 approval 不一定告警。
剔除掉这一笔,剩下约 2 亿美元才是「散户面对的常规钓鱼图景」。下面按类型拆。
剔除巨头后,钱按类型怎么分
把月度样本归类后,剩余约 2 亿美元的损失大致可以分成五类:
| 类型 | 占剩余损失比例 | 典型场景 |
|---|---|---|
| Drainer 抽干 | ~38% | 假 mint/claim 页面触发任意转账 |
| Permit/EIP-2612 离线签名 | ~22% | 看似免 Gas 的签名直接放走授权 |
| 地址投毒尾号引诱 | ~14% | 复制错地址,转账给中间人 |
| 假客服/假平台支持 | ~13% | KYC 异常话术骗助记词或一次性码 |
| Telegram bot / 假合约 | ~13% | 假交易 bot、假代币合约 |
如果你像我一样长期跟这件事,会发现一个事实:Drainer + Permit + 地址投毒 这三类合计占到约 74%。三个领域恰好就是 2025 全年和 2026 上半年安全圈反复警示的方向。
也就是说,「新出现的攻击花样」并不是钱丢的主因。绝大多数的钱,是丢在我们早就听过名字的攻击模式上的。这才是这份月报最值得讲清楚的事。
一、Drainer 抽干为什么仍然占大头
Drainer 这一类我在 Safe Labs 的 5000 个 Drainer 地址 那篇里详细讲过。一月之所以特别多,有两个外部因素:
- 市场情绪偏热,活跃地址数和 mint/claim 行为同步放大。
- AI 生成假网站的成本继续下降,单个攻击者每天能批量上线数十个域名。
防御端没有捷径:少签 mint、少签 claim、永远在硬件钱包屏幕上读完 calldata 再确认。
二、Permit / EIP-2612 离线签名为什么这么吃人
Permit 这一类是 2026 年看着特别难受的一类。它的逻辑是允许用户用一次离线签名来授权代币转账,不需要单独发起一笔 approve 交易。
对攻击者来说,这意味着:
- 无 Gas 痕迹:链上看不到 approve 交易,受害者根本意识不到「我授权过」。
- 签名内容晦涩:弹窗里给你的是一段加密结构化数据,普通人很难判断它在授权什么。
- 绕过钱包提示:一些钱包对 EIP-712 类型化签名的可视化做得不够好。
我自己处理这个的方式只有一条:任何要求我签结构化数据 / 看不懂的签名,一律拒绝。这听起来很笨,但它把我和 Permit 钓鱼隔开了。
签名钓鱼的具体模式我在另一篇里完整列了五种,可以对照看。
三、地址投毒尾号引诱
地址投毒(address poisoning)这件事我在 零值转账地址投毒攻击 里讲过原理。一月里之所以又造成显著损失,是因为攻击者开始批量生成「前 4 位 + 末 4 位完全一致」的伪地址,再朝目标钱包发零值或微额转账,把这条记录留在 TransferHistory 里。
只要受害者在转账时复制最近交互过的地址,就有一定概率粘到伪地址。
防御方式我每次都写一遍,因为它实在太重要:永远完整核对地址,至少看中间 8 位,最好用钱包簿或 ENS。
四、假客服 / 假平台支持
这一块在 1 月里之所以放大,是因为有几家交易所或钱包恰好在做产品改版或 KYC 升级。真平台改版会触发用户疑问,攻击者就有了剧本素材。
具体话术与识别细节我之前在多篇假客服骗局文里讲过,这里只重申一点:没有任何正规平台会主动私聊你,更没有任何正规平台会要你说出助记词、上传私钥截图或者把验证码念出来。
五、Telegram bot 与假代币合约
这是我个人觉得 2026 年最值得长期警惕的一类。它的麻烦在于:很多 trading bot 是真实存在的、用户量也不小,攻击者只需要伪装成它的 bot,就能把不少新用户带偏。
如果你正在用 Telegram trading bot,可以专门读一下 Telegram trading bot 骗局。
一月单月给我的几个使用层面的更新
我没把这份月报当一份事件汇编,而是当一份给自己使用的校准清单。看完之后我调整了以下几件事:
- 把所有长期闲置的代币授权全部撤销,作为季度例行。
- 把热钱包余额上限从「随心」改成**「单次最大愿意丢的金额」**。
- 复习了一遍快速识别钓鱼链接的基本规则——长域名、奇怪的 TLD、字符替换。
- 在硬件钱包上重新打开了盲签关闭、EIP-712 显示原文两个选项。
- 给所有大额转账加上 大额转账十步清单 的流程。
为什么这种月度复盘对个人有用
3.11 亿这个数对所有人都没什么用,但它的结构对你有用。结构告诉你:在你能感受到的「警惕」和「侥幸」之间,钱大部分情况下不是被天才骇客拿走的,而是被一个早就被讲过几十遍的旧套路拿走的。
我个人喜欢做这类月度复盘的原因也是这个。每一次读完,我都不是去补一项「新工具」,而是把已经知道的几件小事再重新固化一遍:撤授权、看完 calldata、不点私信链接、转大额前先停下来。
钱丢出去的速度是按月计的,习惯被固化的速度也只能按月计。这件事没有别的捷径。
本文仅作科普,不构成投资建议。加密资产波动大、风险高——永远只投入你亏得起的钱。