为什么签名钓鱼 2026 年 1 月暴涨?"鲸鱼狩猎"模式拆解与防御
2026 年 1 月,CertiK 与 SlowMist 联合发布的"签名钓鱼损失追踪"里有一条数据我看了好几遍——单月签名钓鱼造成的损失同比上升 207%,单笔最大损失超过 6900 万美金,整月超过百万美金以上的失窃事件接近两位数。损失曲线不是慢慢爬上去的,是 1 月开年第一周直接断崖式跳起。我把这之后两个月在中文和英文社群里追过的所有公开案例做了一个汇总,发现规律非常清晰:骗子的目标变了。他们不再用"百分之一签名率"的广撒网模式,而是切到**“百分之零点一签名率,但单笔捕获大金额”**的鲸鱼狩猎模式。这篇我把这个转变拆开讲一遍,并按"普通用户、活跃 DeFi 用户、机构 / 钱包持有大量资产用户"三类给应对清单。
一、签名钓鱼到底是什么
签名钓鱼(signature phishing)指攻击者通过钓鱼网站、社交工程或恶意 dApp,诱导你对一条预先构造好的链上消息签名。和直接索取助记词不同,签名钓鱼让用户感觉"我只是签了个名而已",从而完成本应需要严格审查的资产授权或转账。常见的危险签名类型我在 钱包 Drainer 工具是什么?怎么防住它一键清空地址 里已经详细列过——这篇侧重 2026 年的新趋势。
二、为什么 2026 年 1 月会断崖式上涨
我把直接原因归到下面三点:
- EIP-2612 /
permit2普及率到达临界点。越来越多大额稳定币、LRT、LST 都支持离线签名授权,攻击者拿到一份签名就能调用合约转资产。 - 大额持仓在 2025 年下半年因为牛市集中重新出现。鲸鱼地址数量回到 2021 年高位,单地址平均持仓上升。
- AI 钓鱼前端工厂化生产。Bitdefender 2026 年初的报告指出 GPT 类工具被用于半自动生成钓鱼站点,单天产出 5000+ 高仿前端,对鲸鱼地址做定向投放。
下面这张小表对照"广撒网"与"鲸鱼狩猎"两种模式的差异。
| 维度 | 广撒网模式 | 鲸鱼狩猎模式 |
|---|---|---|
| 目标 | 所有连接的钱包 | 提前画像的鲸鱼地址 |
| 触达方式 | 公开钓鱼站 + 社交群发 | 私信 + 仿冒项目方 + 高定制广告 |
| 签名设计 | 通用 permit |
针对受害人持仓定制 permit2 |
| 单次预期收益 | 4-5 位美金 | 6-8 位美金 |
| 攻击者运营成本 | 低 | 中高,但仍远低于收益 |
三、骗子怎么找到"鲸鱼"
链上是公开的,这是一把双刃剑。攻击者用下面这套方法定位目标:
- 监控大额稳定币、wstETH、wBTC 持仓地址;
- 抓取经常在公开 X、Telegram 群里晒持仓或晒交易的账号;
- 通过 ENS / SNS 反查社交账号,再用 OSINT 关联邮箱、Discord、Telegram;
- 把目标接入"定向钓鱼工厂",根据其持仓自动生成相应签名。
这意味着 2026 年炫耀链上盈利已经不再只是社交礼仪问题,它是一道你主动递给攻击者的入场券。延伸阅读 为什么不要在 Telegram 群里晒 PnL。
四、鲸鱼狩猎攻击的典型剧本
我抓到的几个公开案例,剧本几乎都长成这样:
- 第一步:通过 X 私信或 LinkedIn 联系目标,自称项目方 BD 或风投合伙人,提出合作或邀请加入 alpha 群。
- 第二步:建立 2-3 周的信任。期间分享真实研报、付费 alpha 报告、甚至小额"投资款"。
- 第三步:在合作即将"落地"时,发送一份"合作协议签名链接"或"投资额度认领页面"。
- 第四步:受害人连接钱包,弹出一条经过定制的
permit2签名请求,给出极高的额度。 - 第五步:签名瞬间,攻击合约把所有受害人持有的稳定币、LRT、热门资产卷走。
整个过程对受害人来说像是一次正常的商务合作,最致命的就是这种"温水煮青蛙"式的信任建立。
五、按三类用户给应对清单
普通用户(持仓 < $10,000)
- 不要在公开渠道展示持仓数字。
- 主钱包安装 Rabby 或 Wallet Guard。
- 每月跑一次 钱包安全自查指南 与 钱包黑名单事件复盘。
- 任何"BD 私信合作"、"alpha 内推"全部默认是骗局,不进群、不签名。
活跃 DeFi 用户(持仓 $10,000 - $100,000)
- 永远准备至少 两个独立钱包:一个交互、一个保管。交互钱包余额一周内用得完。
- 把大额稳定币 wrap 到无
permit2支持的版本,或者放进锁仓策略(如 sDAI、Morpho 蓝筹策略)。 - 关闭主邮箱与 ENS 之间的公开关联。
- 大额签名前用第二台设备查询合约源代码与
spender地址是否官方公告中的合约。
机构 / 大额持有者(持仓 > $100,000)
- 主资产必须使用多签 Safe,至少 2-of-3,签名人物理分离。
- 所有签名走专用、离线、隔离的硬件钱包,绝对禁止用日常浏览器钱包做大额签名。
- 设立"商务沟通"和"签名设备"两套完全隔离的工作流。BD 邮件、LinkedIn 信息、X 私信永远不在签名设备上打开。
- 设置链上风控规则(如 Defender、Forta 钱包警报),单笔签名超过阈值需要团队二次审批。
六、如何识别一份"定制 permit2 签名"
钱包弹出签名时,请观察这几件事:
spender字段:是否是官方公告里给出的合约?value字段:是不是2^256-1(即无限额度)?deadline字段:如果是几年后甚至无限,几乎必假。- 签名文本是否包含"You are giving the contract permission to spend up to …"这类警示:Rabby、Pocket Universe 等插件会主动展示这段。
四条里任何一条出问题,立刻退出,不签。这一点没有妥协空间。
七、把鲸鱼狩猎当成一种"工作场景"来防
我在这个领域观察十几年,最直观的感受是:所有针对大额持仓的攻击,本质都把"信任建立"做得越来越长。骗子愿意花两周时间陪聊、写报告、做 demo,因为他们清楚——单次成功就足够覆盖几十次失败。你不可能靠"警觉一下"挡住一个为你定制了两周的攻击。你能挡住它的唯一办法,是把签名设备、签名权限和商务沟通三件事彻底物理隔离。
把鲸鱼狩猎当成一种工作场景而不是一次性事件。让它在你的安全制度里有一席之地,让你的钱包、签名、社交账号在它面前都不再是单点。等到下一封"合作协议"出现在私信里,你只需要冷静地把它丢进一个早已建立好的流程里——这个流程会替你做出正确反应,而不是依靠那一刻你恰好不累、恰好没忙。
本文仅作科普,不构成投资建议。加密资产波动大、风险高——永远只投入你亏得起的钱。