Perdite da Phishing nel Settore delle Criptovalute
Le perdite da phishing nel settore delle criptovalute sono crollate dell’83%, scendendo a 83,85 milioni di dollari nel 2025, rispetto ai 494 milioni dell’anno precedente, secondo un rapporto di Scam Sniffer. Le vittime sono diminuite del 68%, passando a 106.106, rispetto alle 332.000 nel 2024. Il furto singolo più grande è sceso dell’88,3%, attestandosi a 6,5 milioni di dollari, rispetto ai 55,48 milioni dell’anno precedente. I casi di grandi dimensioni, ovvero quelli che superano 1 milione di dollari, sono diminuiti del 63,3%, con soli 11 incidenti registrati, rispetto ai 30 nel 2024. I dati analizzati riguardano gli attacchi di wallet drainer tramite siti di phishing su catene compatibili con EVM, escludendo hack diretti, compromissioni di exchange e exploit di smart contract.
Analisi del Terzo Trimestre
Nel terzo trimestre, le perdite da phishing nel settore crypto hanno totalizzato 31,04 milioni di dollari, con 39.886 vittime, coincidendo con il periodo di maggiore rally di Ethereum. Questo trimestre ha rappresentato il 37% delle perdite annuali, nonostante coprisse solo un quarto dell’anno solare. I mesi di agosto e settembre hanno registrato perdite per un totale di 23,95 milioni di dollari, pari al 29% del totale annuale, durante il periodo di trading più attivo del mercato. La perdita media per vittima si è attestata a 778 dollari nel terzo trimestre, in calo rispetto ai 969 dollari nel primo trimestre. Il quarto trimestre ha visto il calo più netto, con sole 13,09 milioni di dollari in perdite su 22.592 vittime, mentre i mercati si raffreddavano. Dicembre ha registrato il totale mensile più basso, con 2,04 milioni di dollari e 5.313 vittime.
“C’è una correlazione tra mercato e perdite: le perdite più alte del terzo trimestre (31 milioni di dollari) sono coincise con il rally più forte di ETH. Maggiore attività di mercato significa più potenziali vittime,” ha affermato il rapporto. “Il phishing opera come una funzione di probabilità dell’attività degli utenti.”
Novembre ha presentato un’anomalia, con le perdite che sono aumentate del 137% mentre il numero di vittime è diminuito del 42%. La perdita media per vittima è salita a 1.225 dollari rispetto ai 580 dollari di ottobre, sebbene il rapporto abbia caratterizzato questo come una fluttuazione mensile piuttosto che una tendenza confermata.
Attacchi e Tecniche Utilizzate
Gli attaccanti di phishing nel settore crypto hanno sfruttato le funzionalità di astrazione degli account EIP-7702 poco dopo l’aggiornamento Pectra, raggruppando più operazioni dannose in singole firme. Ad agosto si sono verificati i più grandi casi EIP-7702, totalizzando 2,54 milioni di dollari su due incidenti. Le firme Permit e Permit2 hanno rappresentato 8,72 milioni di dollari su tre casi, pari al 38% delle perdite nei grandi casi. Gli attacchi basati su trasferimenti hanno totalizzato 4,87 milioni di dollari su due incidenti, mentre le firme Approve e increaseApproval hanno combinato 5,62 milioni di dollari su tre casi.
Il furto più grande del 2025 ha coinvolto 6,5 milioni di dollari in stETH e aEthWBTC rubati tramite firma Permit a settembre. Un attacco di maggio ha estratto 3,13 milioni di dollari in WBTC tramite increaseApproval, mentre ad agosto sono stati rubati 3,05 milioni di dollari in aEthUSDT tramite firma Transfer. Sei dei 11 casi che hanno superato 1 milione di dollari si sono verificati tra luglio e settembre, allineandosi con l’attività di mercato di picco. Le perdite totali nei grandi casi hanno raggiunto 22,98 milioni di dollari, rappresentando il 27% del totale annuale.
