加密市场11月份整体因钓鱼攻击损失777万美元，受害者超6300名

从数据上看，钓鱼攻击的模式正在发生明显转变。虽然11月受害者数量下降，但总损失却大幅增加，这表明攻击者不再追求广撒网，而是转向了更具针对性的“鲸鱼猎杀”。许可签名（Permit）和类似签名攻击已成为最主要的攻击载体，这尤其值得警惕。

这类攻击之所以能成功，核心在于它们利用了用户对签名请求的盲区。用户往往对交易保持警觉，但对看似无害的签名却容易放松警惕。攻击者通过伪造的DApp界面诱导用户签署一个“许可”（Permit）签名，这个签名本质上是一份经过加密的授权书，一旦签署，攻击者无需获取用户的私钥或助记词，即可直接支配其特定资产。

从几个高额损失案例可以看出，攻击者非常有耐心，他们会长时间监控链上大额资金流动，一旦发现目标用户将大量资产存入某个易于转移的协议（如Aave），便会迅速发起精准打击。这已形成一套成熟的犯罪流水线。

防御这种攻击，仅靠用户自身提高警惕是远远不够的，因为伪造的界面可以做得与真实项目别无二致。这需要生态各方共同努力：钱包提供商必须肩负起更重要的责任，例如对高风险签名进行醒目拦截和二次确认，清晰解析签名内容；项目方则应审慎采用此类便利性但高风险的签名标准，并加强用户风险教育。最终，降低这类风险需要整个行业在用户体验和安全之间找到更好的平衡点。