BlockThreat - 2025年第23周

blockthreat
发布于 2025-06-10 15:41
阅读 27

本周，超过1700万美元的资金在四起独立事件中被盗，其中大部分损失来自Stacks区块链上的Alex Lab被攻击事件。Bitopro交易所披露了一起发生在一个月前的1150万美元的漏洞，而Marinade Finance遭受了一起500万美元的市场操纵计划，该计划持续了数月未被发现。此外，还讨论了与加密货币相关的其他安全事件、犯罪活动、政策变化、网络钓鱼攻击和恶意软件。

**本周发生了四起独立事件，总计超过 1700 万美元被盗**，其中大部分损失源于 Stacks 区块链上的 Alex Lab 遭受的攻击。这次漏洞再次凸显了链或合约的特定怪癖如何悄悄地侵蚀信任假设。在 Alex Lab 的案例中，该协议允许用户创建自己的市场——但由于验证逻辑不足，攻击者能够迅速耗尽资金。这是一个特别不幸的事件，因为 Alex Lab 仅仅一年多前也遭受了 **[Lazarus 窃取的 430 万美元私钥](https://rekt.news/alexlab-rekt)**。

[![](https://img.learnblockchain.cn/2025/06/25/F9ef7d59f-5e38-4519-8e0a-af2584023fe2_1904x640.png)](https://substackcdn.com/image/fetch/$s_!3RX9!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F9ef7d59f-5e38-4519-8e0a-af2584023fe2_1904x640.png)

区块链的一个决定性特征是其彻底的透明性：黑客攻击通常可以立即看到。详细的技术事后分析会在受影响的团队做出回应之前的几个小时内出现。这种程度的开放性是生态系统的核心优势之一。

但是，当盗窃行为超出链上侦查人员的范围或发生在很少有人关注的链上时，会发生什么情况？本周提供了两个鲜明的提醒。中心化交易所 Bitopro 披露了一起发生在一个月前的 1150 万美元的漏洞，此前 ZachXBT 标记了可疑的混合活动。与此同时，Marinade Finance 遭受了一项 500 万美元的市场操纵计划，该计划在几个月内都未被发现。

还有多少次攻击仍然不为人所知——要么是由于中心化实体的模糊性，要么仅仅是因为没有人关注？大多数区块链监控公司会忽略低于几十万美元的事件。然而，我们一次又一次地看到大规模的活动随着时间的推移抽取少量资金，刚好低于雷达的探测范围。

说到透明度，请查看我们的赞助商 **[Coinspect](https://www.coinspect.com/)** 的出色工作。从深入的钱包安全审查到发现最新的钱包耗尽技术，Coinspect 团队专注于保护生态系统中最重要和最脆弱的部分之一：用户。

* * *

[![](https://img.learnblockchain.cn/2025/06/25/F652b9c69-7934-4fb0-afc8-6fbdb831e7a4_1280x426.png)](https://www.coinspect.com/wallets/)

Coinspect 的钱包安全排名是对领先的加密货币钱包的客观、透明和定期更新的评估。它侧重于关键的安全功能，如反网络钓鱼防御、交易清晰度和防止盲签名的保护，帮助用户选择优先考虑其安全的钱包。

链接：**[https://www.coinspect.com/wallets/](https://www.coinspect.com/wallets/)**

* * *

喜欢阅读 BlockThreat 吗？**[考虑赞助下一期](https://forms.gle/txRaFt21Qdo1kbMc9)** 或 **[成为付费订阅者](https://www.blockthreat.io/subscribe)** 以解锁高级部分，其中包含有关黑客攻击、漏洞、指标、特别报告和可搜索的新闻通讯档案的详细信息。

* * *

让我们深入了解新闻！

### 新闻

- **[黑客泄露 8600 万条 AT&T 记录，其中包含解密的 SSN](https://hackread.com/hackers-leak-86m-att-records-with-decrypted-ssns/).**

- **[Bitopro 确认 1100 万美元的黑客攻击，台湾加密货币交易所表示已补充损失资金](https://archive.ph/ywhbK)**。该通知是在 ZachXBT 曝光该事件发生大约一个月后发出的。

- **[Bybit 披露安全大修，以应对 14 亿美元的黑客攻击](https://cointelegraph.com/news/bybit-announces-security-overhaul-in-response-to-1-4b-hack)**。

- **[新的 Chrome 零日漏洞正在被积极利用；谷歌发布紧急带外补丁](https://thehackernews.com/2025/06/new-chrome-zero-day-actively-exploited.html).**

### 犯罪

- **[据报道，法国加密货币绑架案幕后主使在摩洛哥被捕](https://www.theblock.co/post/356980/alleged-mastermind-behind-french-crypto-kidnapping-spree-arrested-in-morocco-report)**。

- **[美国司法部寻求没收冒充 IT 工作者的朝鲜黑客的 770 万美元加密货币](https://decrypt.co/324162/doj-forfeiture-7-million-crypto-north-korean-hackers)**。

- **[美国司法部刚刚查获了加密货币和 145 个网络域名，他们声称这是一个被盗信用卡在线市场 - Fortune](https://archive.ph/V2W94)**。

- **[黑客因入侵 5,000 个托管账户以挖掘加密货币而被捕](https://www.bleepingcomputer.com/news/security/hacker-arrested-for-breaching-5-000-hosting-accounts-to-mine-crypto/)**。

### 政策

- **[美国证券交易委员会同意放弃对币安和创始人 CZ 的诉讼](https://decrypt.co/322848/sec-agrees-drop-lawsuit-binance-cz).**

- **[阿根廷反腐办公室在 Libra 加密货币推广丑闻中赦免了 Javier Milei](https://www.theblock.co/post/357382/argentina-anti-corruption-office-clears-javier-milei-in-libra-crypto-promotion-scandal).**

- **[加密货币组织推动增加一项旨在保护总体立法中软件开发人员的法案](https://www.theblock.co/post/357182/crypto-groups-push-to-add-a-bill-that-aims-to-protect-software-developers-in-overarching-legislation)**。

- **[不，加利福尼亚州没有通过一项法律来没收你闲置的比特币](https://protos.com/no-california-didnt-pass-a-law-to-seize-your-idle-bitcoin/).**

### 网络钓鱼

- **[EF 安全清单](https://ef-security-checklist.vercel.app/).** 个人数字安全和隐私的分步指南，包括保护你的消息传递、移动设备、个人计算机、智能家居、电子邮件、物理安全等。

- **[加密货币威胁态势：针对加密货币用户的威胁和漏洞](https://mirror.xyz/somaxbt.eth/PcTxjP1wUuutwmFizHYuzG33nJm1hx8i66iQ-T7y210)**，作者：SomaXBT。

- **[Web3 网络钓鱼的演变——从电子邮件诈骗到 AI 驱动的黑客攻击 - 第 1 部分](https://x.com/threesigmaxyz/status/1930594112882749468)**，作者：Three Sigma。

- **[自动化钱包耗尽器和智能合约网络钓鱼工具包](https://x.com/threesigmaxyz/status/1930938161787548132)**，作者：Three Sigma。

- **[联邦调查局警告称，针对 Hedera Hashgraph 钱包的 NFT 空投诈骗](https://www.bleepingcomputer.com/news/security/fbi-warns-of-nft-airdrop-scams-targeting-hedera-hashgraph-wallets/)**。

- **[了解 EIP-7702 网络钓鱼攻击：钱包保护策略综合指南](https://learnblockchain.cn/article/17313?source=rss-176f1d291bf0------2)**，作者：GoPlus Security。

- **[加密货币自满：行业会议上隐藏的安全威胁](https://news.google.com/rss/articles/CBMifEFVX3lxTE9jVUpBSC1TYVRNWUh5b0NITXZRUGVpcVV6eVZXRHpSbnN2Uk9qREZzMTVaZnVJdTd0MFZvaFl3ZlMyc2ktN2JjNS12NEF5N1dNTnpVU1ZVVXFUT1gzMWQzbi0tdzd6TDFCc1Z1VUIxTGNubWxEY3hoVFJORWQ?oc=5)**，作者：Kraken。

- **[超越池塘网络钓鱼：揭示 Lazarus 集团不断演变的策略](https://blog.bitmex.com/bitmex-busts-lazarus-group/)**，作者：BitMEX。

- **[面具背后：SlowMist 揭示了伪造的安全专家如何欺骗加密货币用户](https://learnblockchain.cn/article/17310?source=rss-4ceeedda40e8------2)**，作者：Liz & Reborn (SlowMist)。

### 恶意软件

- **[多个 Gluestack NPM 包遭到入侵](https://x.com/AikidoSecurity/status/1931374444196291051)**。

- **[Cryptojacking 活动利用 GitHub 上的现成工具利用 DevOps API](https://thehackernews.com/2025/06/cryptojacking-campaign-exploits-devops.html)**。

- **[Android 木马 Crocodilus 目前在 8 个国家/地区活跃，目标是银行和加密货币钱包](https://thehackernews.com/2025/06/android-trojan-crocodilus-now-active-in.html)**。

### 媒体

- **[OpenSense - 从一无所知到充满信心：Sammy 的 Web3 安全之旅](https://www.youtube.com/watch?v=Pl3c8bL80sA).**

- **bountyhunt3rz - [第 16 集 - 0xflint](https://www.youtube.com/watch?v=IJAIpciVRYg)**。

- **[像攻击者一样思考：在他们之前找到攻击向量](https://x.com/buildonbase/status/1929576266044485797)**，作者：Riley Holterhus (Cantina)。

- **[构建机构级安全实践](https://x.com/gauntlet_xyz/status/1925627345144107026)**，特色人物：Ryan (Gauntlet)、Gal (Hypernative)、Fives (SEAL)、Tal、Julia 和 Ziggy (ZeroShadow)。

- **[0xProfiles - Juno](https://x.com/offbeatblog_eth/status/1930648568185897279)**，作者：Offbeat。

### 竞赛

- **[Pectra 教育 CTF](https://github.com/rotcivegaf/PectraCTFs)**，作者：Rotciv。EIP-7702 和其他与 Petra 相关的教育挑战。

### 研究

- **[定义一种用于建模和跟踪隔离威胁的新方法](https://blog.talosintelligence.com/compartmentalized-threat-modeling/)**，作者：Talos。关于威胁建模方法、杀伤链和归因的绝佳指南。

- **[臭名昭著的 Bug Digest #3](https://learnblockchain.cn/article/15798)**，作者：Frank Lei & Ionut-Viorel Gingu (OpenZepp。

- **[躲过一劫](https://rekt.news/dodging-a-bullet)**，作者：Rekt。Vesu 协议在 Starknet 上成功 **[漏洞赏金报告](https://docs.vesu.xyz/security/disclosures-report/rounding-convention-bug-disclosure)** 的案例研究。

- **[稳定币安全：经济攻击向量与黑天鹅失败](https://blog.immunebytes.com/2025/06/02/stablecoin-security-economic-attack-vectors-black-swan-failures/)**，作者：ImmuneBytes。考虑到最近的 **[Chainlink 50 万美元崩溃](https://x.com/zokyo_io/status/1929868093943165256)**，这是一篇相关的文章。

- **[EulerSwap 审计思考过程](https://x.com/danielvf/status/1929635238621466791)** 线程，作者：Daniel Von Fange。

- **[使用 EIP-7702 营救资金](https://x.com/pcaversaccio/status/1929926175935095149)**，作者：pcaversaccio。

- **[在 Base 上营救 100 个 ETH 钱包](https://x.com/SchorLukas/status/1929977600752963893)**。Protofire 的白帽们抢先修复旧 Safe 钱包漏洞的故事。

- **[标准化钱包信息，以便人们真正知道他们在签署什么](https://ethereum-magicians.org/t/standardizing-wallet-information-so-humans-can-actually-know-what-they-are-signing/24295)**，作者：Patrick Collins。观看此 **[视频](https://www.youtube.com/watch?v=Ke-xSNseAME)** 和 **[Wise Signer 工具](https://wise-signer.cyfrin.io/)** 以获取一些背景信息。

- **[Zokyo 审计教程](https://zokyo-auditing-tutorials.gitbook.io/zokyo-tutorials).**

- **[小数的危险：Web3 中数学事故造成的漏洞](https://x.com/threesigmaxyz/status/1929838159019299072)**，作者：Three Sigma。

- **[机构钱包安全](https://www.zeroshadow.io/post/institutional-wallet-security)**，作者：ZeroShadow。

- **[事件事后分析：op-geth<>op-reth Gas 退款不匹配](https://learnblockchain.cn/article/17311)**，作者：Optimism。

- **[潘多拉魔盒：不受限制的 LLM 如何威胁加密货币安全](https://learnblockchain.cn/article/17312?source=rss-4ceeedda40e8------2)**，作者：SlowMist。

- **[安全工程师审核核心区块链节点指南](https://blog.sigmaprime.io/core-node-security.html)**，作者：Kirk Baird (Sigma Prime)。

- **[AI 驱动的威胁建模——用于自动 STRIDE 分析的 LLM](https://fuzzinglabs.com/ai-threat-modeling-arrows/)**，作者：Fuzzing Labs。

- elin)。

- **[为什么 Web3 安全已崩溃（2025 版）](https://x.com/0xcharleswang/status/1927792110553682144)**，作者：Charles Wang。

- **[交易对话：通过以太坊输入数据消息 (IDM) 进行去中心化通信](https://arxiv.org/abs/2505.24724)**。

- **[交易邻近性：一种基于图的区块链欺诈预防方法](https://arxiv.org/abs/2505.24284)**。

- **[BRC20 Pinning Attack](https://arxiv.org/abs/2410.11295)**。

### 工具

- **[eBurger](https://github.com/forefy/eburger)** - 一种静态分析工具，提供了一种通过 forefy 快速查询和分析 solidity 智能合约的方法。 一个很棒的工具和 **[action](https://github.com/marketplace/actions/eburger-action)** 可以包含在你的 CI 管道中。

- **[Radar](https://github.com/Auditware/radar)** - Auditware 提供的用于 anchor rust 程序的静态分析工具。 Solana/Rust CI 管道的另一个很棒的工具。

>- 原文链接： [newsletter.blockthreat.i...](https://newsletter.blockthreat.io/p/blockthreat-week-23-2025)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

本周发生了四起独立事件，总计超过 1700 万美元被盗，其中大部分损失源于 Stacks 区块链上的 Alex Lab 遭受的攻击。这次漏洞再次凸显了链或合约的特定怪癖如何悄悄地侵蚀信任假设。在 Alex Lab 的案例中，该协议允许用户创建自己的市场——但由于验证逻辑不足，攻击者能够迅速耗尽资金。这是一个特别不幸的事件，因为 Alex Lab 仅仅一年多前也遭受了 Lazarus 窃取的 430 万美元私钥。

说到透明度，请查看我们的赞助商 Coinspect 的出色工作。从深入的钱包安全审查到发现最新的钱包耗尽技术，Coinspect 团队专注于保护生态系统中最重要和最脆弱的部分之一：用户。

链接：https://www.coinspect.com/wallets/

喜欢阅读 BlockThreat 吗？考虑赞助下一期 或 成为付费订阅者 以解锁高级部分，其中包含有关黑客攻击、漏洞、指标、特别报告和可搜索的新闻通讯档案的详细信息。

让我们深入了解新闻！

新闻

黑客泄露 8600 万条 AT&T 记录，其中包含解密的 SSN.
Bitopro 确认 1100 万美元的黑客攻击，台湾加密货币交易所表示已补充损失资金。该通知是在 ZachXBT 曝光该事件发生大约一个月后发出的。
Bybit 披露安全大修，以应对 14 亿美元的黑客攻击。
新的 Chrome 零日漏洞正在被积极利用；谷歌发布紧急带外补丁.

犯罪

政策

网络钓鱼

EF 安全清单. 个人数字安全和隐私的分步指南，包括保护你的消息传递、移动设备、个人计算机、智能家居、电子邮件、物理安全等。
加密货币威胁态势：针对加密货币用户的威胁和漏洞，作者：SomaXBT。
Web3 网络钓鱼的演变——从电子邮件诈骗到 AI 驱动的黑客攻击 - 第 1 部分，作者：Three Sigma。
自动化钱包耗尽器和智能合约网络钓鱼工具包，作者：Three Sigma。
联邦调查局警告称，针对 Hedera Hashgraph 钱包的 NFT 空投诈骗。
了解 EIP-7702 网络钓鱼攻击：钱包保护策略综合指南，作者：GoPlus Security。
加密货币自满：行业会议上隐藏的安全威胁，作者：Kraken。
超越池塘网络钓鱼：揭示 Lazarus 集团不断演变的策略，作者：BitMEX。
面具背后：SlowMist 揭示了伪造的安全专家如何欺骗加密货币用户，作者：Liz & Reborn (SlowMist)。

恶意软件

媒体

OpenSense - 从一无所知到充满信心：Sammy 的 Web3 安全之旅.
bountyhunt3rz - 第 16 集 - 0xflint。
像攻击者一样思考：在他们之前找到攻击向量，作者：Riley Holterhus (Cantina)。
构建机构级安全实践，特色人物：Ryan (Gauntlet)、Gal (Hypernative)、Fives (SEAL)、Tal、Julia 和 Ziggy (ZeroShadow)。
0xProfiles - Juno，作者：Offbeat。

竞赛

Pectra 教育 CTF，作者：Rotciv。EIP-7702 和其他与 Petra 相关的教育挑战。

研究

定义一种用于建模和跟踪隔离威胁的新方法，作者：Talos。关于威胁建模方法、杀伤链和归因的绝佳指南。
臭名昭著的 Bug Digest #3，作者：Frank Lei & Ionut-Viorel Gingu (OpenZepp。
躲过一劫，作者：Rekt。Vesu 协议在 Starknet 上成功 漏洞赏金报告 的案例研究。
稳定币安全：经济攻击向量与黑天鹅失败，作者：ImmuneBytes。考虑到最近的 Chainlink 50 万美元崩溃，这是一篇相关的文章。
EulerSwap 审计思考过程 线程，作者：Daniel Von Fange。
使用 EIP-7702 营救资金，作者：pcaversaccio。
在 Base 上营救 100 个 ETH 钱包。Protofire 的白帽们抢先修复旧 Safe 钱包漏洞的故事。
标准化钱包信息，以便人们真正知道他们在签署什么，作者：Patrick Collins。观看此视频和 Wise Signer 工具 以获取一些背景信息。
Zokyo 审计教程.
小数的危险：Web3 中数学事故造成的漏洞，作者：Three Sigma。
机构钱包安全，作者：ZeroShadow。
事件事后分析：op-geth<>op-reth Gas 退款不匹配，作者：Optimism。
潘多拉魔盒：不受限制的 LLM 如何威胁加密货币安全，作者：SlowMist。
安全工程师审核核心区块链节点指南，作者：Kirk Baird (Sigma Prime)。
AI 驱动的威胁建模——用于自动 STRIDE 分析的 LLM，作者：Fuzzing Labs。
elin)。
为什么 Web3 安全已崩溃（2025 版），作者：Charles Wang。
交易对话：通过以太坊输入数据消息 (IDM) 进行去中心化通信。
交易邻近性：一种基于图的区块链欺诈预防方法。
BRC20 Pinning Attack。

工具

eBurger - 一种静态分析工具，提供了一种通过 forefy 快速查询和分析 solidity 智能合约的方法。一个很棒的工具和 action 可以包含在你的 CI 管道中。
Radar - Auditware 提供的用于 anchor rust 程序的静态分析工具。 Solana/Rust CI 管道的另一个很棒的工具。