BlockThreat - 2025年第51周

Yearn, Rari Capital, Futureswap, NX Finance, Biswap, Dragun69

本周，大约有 370 万美元在八起事件中被盗。冬季假期仍然是防御者最危险的时期之一，因为攻击者会加大活动力度，同时依赖于减少的人员配置和较慢的响应时间。

本周最严重的事件源于用户沦为地址中毒攻击的受害者，导致损失 5000 万美元。虽然这没有超过去年创纪录的 7100 万美元 WBTC 地址中毒攻击，但这种成功的入侵行为继续激励攻击者用恶意交易淹没区块链。令人沮丧的是，这类攻击在很大程度上是可以解决的。钱包和区块链浏览器可以通过更强的启发式方法来击败大多数地址中毒攻击。用户合法地与多个具有相似前缀和后缀的地址进行交互的几率是多少？我们可以做得更好！

针对旧合约的令人不安的攻击趋势仍然存在。Yearn 再次遭到入侵，由于配置错误漏洞损失了 30 万美元，而 Rari 的多重签名被接管，导致攻击者耗尽了大约 200 万美元。

让我们深入了解一下新闻！

活动

• SEAL 的 DarkMode 会议。论文征集现已开放。

新闻

• Chainalysis：2025 年加密货币黑客攻击达到 34 亿美元，个人钱包攻击增加。
• Go Plus Security 的 谁在窃取你的加密资产？——2025 年 Web3 用户安全和风险趋势报告。
• SlowMist 的 2025 年区块链安全和 AML 年度报告。
• 思科警告称，存在利用 AsyncOS 电子邮件安全设备中未修补的 0-Day 漏洞的主动攻击。
• Decurity 的 Defimon 2025 回顾。
• TLP Black 的 回顾 2025 年的网络安全形势：2026 年值得关注的关键趋势。
• 人工智能黑客是否正在以 500 万美元的速度攻击旧的 DeFi 项目？。

犯罪

• Chainalysis 的 朝鲜推动创纪录的 20 亿美元加密货币盗窃年，将历史总额推至 67.5 亿美元。
• 朝鲜渗透者因延迟被抓获在亚马逊 IT 部门工作——110 毫秒的击键输入引发了对其真实位置的质疑。
• Mauro Eldritch 和 Sofia Grimaldo (Bitso) 的 最后一章：对千里马 VII 的采访。
• TRM 的 朝鲜与加密货币盗窃的工业化。
• DPRK 内部行动：在全球活动中发现新的 Lazarus 和 Kimsuky 基础设施。
• TRM 追踪 2022 年 LastPass 漏洞中被盗的加密货币——链上指标表明俄罗斯网络犯罪分子参与其中。
• 美国查封 E-Note 加密货币交易所，原因是其洗钱勒索软件付款。
• 法国警惕比特币窃贼，蒙面男子绑架并强迫夫妇转移 800 万欧元加密货币。
• 布鲁克林男子因涉嫌通过网络钓鱼计划从 Coinbase 用户那里窃取 1600 万美元而被起诉。

政策

• 美国联邦储备委员会已决定撤回 2023 年发布的指导意见，该指导意见实际上限制了未投保银行成为联邦储备委员会成员并从事与加密货币相关的活动。
• 美国证券交易委员会表示，经纪自营商需要维护加密货币私钥以遵守客户保护规则。
• 在 2022 年盗窃案发生后，联邦贸易委员会命令加密货币平台 Nomad 分配 3750 万美元。

网络钓鱼

• 加密货币交易员因地址中毒攻击损失 5000 万美元。
• Peckshield 的 由于私钥泄露，一条鲸鱼的多重签名被耗尽了约 2730 万美元。
• g0njxa 的 接近盗号者开发者：与 Phexia 的简短访谈。对恶意软件开发人员的罕见观察。
• 新加坡企业家在下载假游戏后损失了全部加密货币投资组合。

诈骗

• Specter 的 到目前为止，@atlasx100 通过一个诈骗“私人”交易群从 300 多名受害者手中赚取了超过 30 万美元。

恶意软件

• Lotan Sery,Noga Gouldman (Koi) 的 GhostPoster 内部：PNG 图标如何感染 50,000 名 Firefox 用户。
• Artem Ushkov (Kaspersky) 的 Stealka 盗号器：游戏作弊、模组和破解的新面孔。
• Rogue NuGet 包伪装成 Tracer.Fody，窃取加密货币钱包数据。
• 亚马逊：正在进行的加密货币挖掘活动使用被黑的 AWS 账户。
• 新的 SantaStealer 恶意软件窃取浏览器、加密货币钱包中的数据。

媒体

• 不要被 Rekt - Ep04。Pablo Sabbatella 和 Officer_secrets 分享了关于 opsec 失败和攻击模式的精彩情报。要点。

研究

• Shealtielanz (SigmaPrime) 的 安全研究人员的终极指南：起航。
• Brock Elmore (Nascent) 的 你正在错误地编写 require 语句。DeFi 智能合约安全的新模式。
• SlowMist 的 去中心化永续合约安全审计指南。
• Inversive Labs 的 Solaris：有状态、结构感知、sBPF 字节码覆盖引导的模糊测试。
• 0xmikko.eth 的 机构级安全。第 1 章：防护措施和角色分离。
• 0xmikko.eth 的 机构级安全。第 2 章：字节码的链上 Github。
• Ackee 的 在 Wake 中安全地测试代理合约。
• Jorgect.eth 的 你对舍入误差的看法是错误的。
• Nicolas Bacca 的 我在 39c3 / CDC 上 Devcon 7 关于 Passkey 的演示的重播。请记住将你最珍贵的 passkey 保留在专用安全硬件上，不要同步。
• BlockSec 的 通过利用 Flashbots Relay 中的漏洞来获取 MEV 机器人。
• ChainSecurity 的 不要低估 TON：不正确的 gas 估算如何导致关键问题。
• Ackee 的 Wake 中无需猜测的 EIP-712 编码。
• OpenZeppelin 的 FHEVM 安全开发人员指南。
• Evan Sultanik (Trail of Bits) 的 聊天机器人可以编写正确的代码吗？。
• Belobog：用于真实世界智能合约的 Move 语言模糊测试框架。
• EIP-7702 网络钓鱼攻击。
• Mage：使用跨轴转换器破解椭圆曲线密码学。
• 没有更多的隐藏陷阱？使用 LLM 驱动的混合分析揭示智能合约不良做法。
• ScamSweeper：通过交易分析检测 Web3 诈骗中的非法账户。 -夹在中间且沉默：以太坊 MEV 中的行为适应和私人渠道利用。
• 使用机器学习技术检测和分析以太坊区块链上的敏感和非法内容。
• 清理混乱：解决加密货币滥用报告服务中的数据污染问题。
• BugMagnifier：用于揭示智能合约漏洞的 TON 交易模拟器。
• 爱情、谎言和语言模型：调查人工智能在浪漫诱饵诈骗中的作用。
• 基于视觉的学习，用于区块链智能合约和交易中的网络攻击检测。
• BugSweeper：使用图神经网络进行智能合约漏洞的功能级检测。

工具

• CTFBench 是一个用于评估 AI 智能合约审计员的基准。仓库。

• 0xstormblessed 的 DeployGuard。一个 CLI 工具，用于审计 Foundry 部署脚本中的安全漏洞、最佳实践违规和缺少测试覆盖率。它专注于检测 CPIMP（代理中间的秘密代理）漏洞和其他安全反模式。

  // CPIMP (Clandestine Proxy In the Middle of Proxy) 
  // 中间代理中的秘密代理

• 推出 Hacken 的开源 Uniswap v4 Hook 测试框架。

• @fubuloubu 的 Python 开发人员的加密技能。Claude 和其他 LLM/Agent 的技能，可帮助用户构建用于区块链网络的 Python 项目。

• • *

• 原文链接： newsletter.blockthreat.i...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～