BlockThreat 安全周报 - 2025年第38周

NGP (New Gold Protocol), Scattered Spider, Shai-Hulud

本周发生了三起盗窃事件，损失超过 300 万美元，与上周的生态系统掠夺相比，这算是相对缓和的时刻。让我们抓住这个机会，巩固我们的防御，深入研究一系列强大的研究文章，并强调一些积极的新闻。

一位四期癌症患者在下载恶意 Steam 游戏后被盗取了 3.2 万美元。幸运的是，一群安全研究人员 注意到了一起令人震惊的犯罪行为，并聚集在一起追踪 恶意软件的运营者，促成了迅速逮捕 以及可能的驱逐出境。有趣的是，Valentin Lopez，又名“教皇”，与同一加密货币盗窃团伙 有关联，该团伙是去年 2.3 亿美元加密货币盗窃案 的幕后黑手。每一个在揭露犯罪、协调调查并将运营者绳之以法过程中发挥作用的人都值得我们极大的尊重和钦佩。你们是真正的英雄！

这里最大的教训是将你的银行/加密货币机器与你玩游戏和在社交媒体上互动的日常设备分开。

_在所有这些黑客故事中，值得强调的是本周版本的无名英雄和赞助商 - ChainPatrol。ChainPatrol 的好人们正在做着非常出色的工作，保护协议的品牌，打击 X 上的网络钓鱼攻击，并在诈骗者造成实际损害之前迅速将其清除。_

让我们深入了解新闻！

新闻

• Bloomberg 上发表的“我是一个奇怪的孩子”：青少年黑客的监狱自白 文章涵盖了 Noah Urban、Scattered Spider 以及此前未公开的Crypto.com黑客事件 。

• 自复制蠕虫袭击 180 多个软件包。Shai-Hulud 恶意软件 继续大规模感染开发者及其 NPM 包，包括 Crowdstrike、tinycolor 等。

• 一统天下的Token - 通过 Actor token 获取每个 Entra ID 租户中的全局管理员 作者：Dirk-jan Mollema。无限制访问所有 Azure 帐户。你有哪些控制措施来保护和监控你的云帐户？

• Security Alliance 的 Lazarus Group 项目提供了大量的 DPRK IT 工作人员角色 和一个有趣的演示。

• MetaMask 安全报告：2025 年 8 月。

犯罪

• 一名加密货币诈骗犯在窃取癌症患者的治疗基金后被举报给 ICE。

• 英国国民因参与多起网络攻击（包括针对关键基础设施的攻击）而被起诉和美国诉Thalha Jubair aka EarthtoStar 文件记录了 Scattered Spider 演员的一些最疯狂的漏洞利用行为，包括窃取 3600 万美元，包括使用非法所得购买 Uber Eats 和 Steam，对美国司法部进行社交工程以查找他被封存的起诉书。有趣的是，这名不良行为者还参与了几个月前录制的一段抢劫视频。

• RCMP 查封 TradeOgre：加拿大迄今为止最大的加密货币执法行动。有趣的是，RCMP 选择使用 OP_RETURN 消息发出资金查封通知，同时查封了 4000 万美元。这项执法行动引发了人们对 合法客户损失资金 的担忧。

• 法庭文件称，Coinbase 黑客案嫌疑人在其手机上保留了 10,000 多名客户的数据。

• 据称，加密货币诈骗犯试图贿赂 X 员工以恢复帐户。

• 比特币、殴打和亿万富翁的复仇：格鲁吉亚的 Bachiashvili 案件。

• FBI 要求 SafeMoon 受害者提供信息，以进行赔偿。

• Project Brazen 将 KuCoin 与数十亿美元的杀猪盘诈骗联系起来。

• 本学期报告的比特币持有者人身攻击事件激增 169%。

• 美国打击伊朗在香港、阿联酋的“影子银行”网络。

政策

• 印度强制对加密货币交易所进行网络安全审计，原因是黑客攻击事件创历史新高。

网络钓鱼

• 诈骗/网络钓鱼警报：冒充 Gitcoin Fund 的虚假 GitHub 通知电子邮件。

• Wintermute 表示，48% 的以太坊 EIP-7702 用途与犯罪有关。

• 加密货币巨鲸因针对质押以太坊的隐蔽网络钓鱼计划损失 600 万美元。

• 朝鲜黑客使用 ClickFix 在加密货币求职诈骗中投放 BeaverTail 恶意软件。

• zak.eth 现场诈骗电话的罕见录音和即兴采访。

• Scam Sniffer 有人在签署多个网络钓鱼“许可”签名后损失了 628 万美元的 stETH 和 aEthWBTC。

• matta 的 关于使用 Booking 进行加密货币网络钓鱼活动的报告。

恶意软件

• Yuval Ronen（Koi Security）撰写的WhiteCobra 的剧本曝光：重大错误揭示了针对 VS Code 和 Cursor 的 24 扩展活动。

• Arvin Lauren Tan（G Data）撰写的BlockBlasters：受感染的 Steam 游戏下载伪装成补丁的恶意软件。这与用于从上述癌症患者那里窃取 3.2 万美元的恶意软件相同。其他指标 和受害者。

媒体

• 混币器、桥和粉尘攻击：链上侦探谈加密货币犯罪分子的主要错误 和录像（俄语）。

• CBER 论坛的 去中心化交易所的套利利润。

比赛

• Ethernaut CTF 刚刚发布了 4 个新级别。

研究

• OpenZeppelin 撰写的 臭名昭著的 Bug Digest #5：EIP-7702 后的陷阱、JIT 惩罚退款和递归函数的操纵。

• Donjon (Ledger) 撰写的 将 Tangem 卡暴露于暴力攻击的漏洞。

• Felix Wilhelm（Asymmetric Research）撰写的威胁已控制：marginfi 闪电贷漏洞。

• VulSight 撰写的 Perp DEX 中的一个逻辑错误如何为我们赚取了 50,000 美元的赏金。

• VulSight 撰写的 Liquity fork 中的漏洞 第 1 部分 和 第 2 部分。

• Barış Parlan 撰写的 Yo Protocol 未见的危险：为什么代码审计还不够。

• Paweł Kuryłowicz (Composable Security) 撰写的 产生收益的稳定币的危险信号和绿灯信号。

• BlockSec 撰写的 美国如何追踪 1.1 亿美元的加密货币洗钱案件。

• Oak Security 撰写的 如何在不失眠的情况下管理加密密钥。

• Ruben (Neodyme) 撰写的 构建我们自己的后量子 FIDO Token。

• Guillermo Larregay（Trail of Bits）撰写的 使用突变测试来发现你的测试无法发现的错误。

• Martín Ochoa (ZKSecurity) 撰写的 Kocher 的时序攻击：从理论到实践的旅程。

• SlowMist 创始人 Cos 在香港大学分享：区块链安全 - 进攻、防御和实践。

• phil 撰写的 寻找破坏智能合约的方法（审计：第 2 部分）。

• Ethereum Magicians 协会 - 一个简单的 L2 安全和最终确定路线图。

• 研究：旅行 eSIM 卡秘密地通过中国和未公开的网络路由流量。

• GoPlus Security 撰写的 AP2 交易安全模型和潜在风险分析。

• Wang Security 撰写的 Sui 交易生命周期。

• Franco Riccobaldi (Coinspect) 撰写的 不断发展的供应链攻击：为什么 dApp 避免了一次重大漏洞。

• Rekt 撰写的 谁被Rugged了？ 是关于部署期间错误配置危险的宝贵课程。

• 来自 Security Base 的 EVM – Cosmos 融合研究 第 1 部分、第 2 部分 和 第 3 部分（CertiK）。

• ExDoS：用于智能合约漏洞检测的专家指导的双焦点跨模态蒸馏。

• SmartCoder-R1：通过安全感知组相对策略优化实现安全且可解释的智能合约生成。

• Arguzz：测试 zkVM 的可靠性和完整性错误。

• 从范式转变到审计裂痕：探索 TON 智能合约的漏洞和审计技巧。

• 如何在赛跑中击败中本聪。

• Commit-Reveal$^2$：使用智能合约中随机化的公开顺序保护随机性信标。

• 时间戳操纵：基于时间戳的Nakamoto式区块链存在漏洞。

• 恒定乘积做市商的自动攻击合成。

工具

• William Cheung 撰写的 认识 EDB - 第一个源代码级别的智能合约调试器。Repo 这里。其他演示。

  // BlockSec 安全事件库

• BlockSec 安全事件库

// 多链 Token 授权扫描器

• Snubb - 多链 Token 授权扫描器。

• • *

喜欢阅读 BlockThreat 吗？考虑赞助下一期 或 成为付费订阅者 以解锁高级部分，其中包含有关黑客攻击、漏洞、指标、特别报告和可搜索的新闻通讯档案的详细信息。

• 原文链接： newsletter.blockthreat.i...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～