BlockThreat - 2025年第52周

BlockThreat
发布于 1天前
阅读 21

2025 年发生了多起加密货币安全事件，总计损失近 1300 万美元，其中 Trust Wallet 浏览器扩展被 Shai Hulud 蠕虫完全攻破，损失超过 850 万美元。Flow 区块链因无限铸币漏洞损失 390 万美元。文章还讨论了 Polymarket 被攻击事件，并对各种 Web3 安全事件、工具和研究进行了概述，最后作者呼吁业界共同努力，为用户创建一个安全可信的环境。

### Trust Wallet, Flow, Polymarket, MSCST, JFIN Bridge, Debot,

我们即将结束这一年，共有近 1300 万美元在五起事件中被盗。最严重的是 Trust Wallet 浏览器扩展的完全泄露。

![](https://img.learnblockchain.cn/2026/01/02/F54e24c21-5823-4d35-a038-3df508079d8b_1904x640.png)

根据最近发布的 post mortem，Trust Wallet 的 GitHub 仓库自 11 月以来（！）就被臭名昭著的 **[Shai Hulud worm](https://unit42.paloaltonetworks.com/npm-supply-chain-attack/)** 攻破了。在窃取了 GitHub 的密钥和 Chrome Web Store API 密钥后，攻击者最终发起了攻击，上传了一个恶意扩展，该扩展泄露了用户的私钥。 已经有超过 850 万美元从数千名受害者手中被盗。 这种性质的供应链攻击可能会成为 2026 年的一个反复出现的主题。正如我之前**[警告过](https://www.youtube.com/watch?v=0S-Au1VEFfM&t=374s)**的那样，现在是锁定仓库的关键时刻，最重要的是，立即轮换被盗的凭据，而不是几周后。

本周还发生了一起特别罕见的利用 Flow 区块链的漏洞。 一名攻击者等到年底才利用链执行层中的无限铸币漏洞，盗取了 390 万美元。 Flow 运营商后来选择将链回滚到攻击前的检查点。 这是一种粗暴且很大程度上无效的缓解措施，因为它对每次在攻击后进行交易的合法用户产生了负面影响，而攻击者已经将盗取的资金转移出了生态系统。 一个更有效的应对措施是隔离或过滤攻击者的交易，正如最近的 Balancer 事件中所展示的那样，**[Polygon](https://x.com/hosseeb/status/1985394967712510295)**, **[Gnosis](https://x.com/gnosis_/status/1985321081255891396)**, **[Berachain](https://x.com/berachain/status/1986952318068146323)** 等链协助恢复，而没有中断正常的网络活动。 这一事件凸显了 Flow 需要制定一个全面且经过充分演练的事件响应计划。

在时事通讯的高级版块中，你将找到关于 Polymarket 攻击、Trust Wallet 事后分析和后门分析、Flow 区块链无限铸币漏洞等的详细报道。

![](https://img.learnblockchain.cn/2026/01/02/8848d07d-6894-4476-b9c8-4eb67f8bb6e0_3808x1280.png)

由于我们即将结束这一年，各种 DeFi 协议、区块链和中心化交易所总共被盗了约 28 亿美元，涉及 363 起事件，因此很容易将 2025 年称为我在关注这个行业大约 8 年来最具挑战性的一年。 然而，我们必须继续为正义而战，并使这个行业为每个负担不起基本需求的家庭取得成功，因为他们的储蓄因失败的经济体贬值，资产被腐败机构盗窃，没有机会摆脱贫困，无法进入全球金融市场。 加密货币有机会通过将世界包裹在一个不可阻挡的全球金融网络中来解决这个问题和更多的困难，在这个网络中，人们可以安全地与任何地方的任何人进行交易。 作为区块链安全行业，我们可以通过为即将上链的数十亿用户创造一个安全可信的环境，为这个未来的早日到来铺平道路。

祝大家新年快乐，并一起进行更多冒险。 让我们深入了解新闻！

### 新闻

- **[Trust Wallet 确认扩展程序黑客攻击导致 700 万美元加密货币被盗](https://www.bleepingcomputer.com/news/security/trust-wallet-confirms-extension-hack-led-to-7-million-crypto-theft/).**

- **[Gnosis 执行硬分叉以恢复在 Balancer 黑客攻击中损失的资金](https://x.com/gnosischain/status/2003410653185474630).**

- **[T-Mobile USA 泄露了所有客户的电话号码](https://x.com/intcyberdigest/status/2004683118389985766).** Google 支持电话即将到来。

- **[严重 n8n 漏洞 (CVSS 9.9) 允许在数千个实例中执行任意代码](https://thehackernews.com/2025/12/critical-n8n-flaw-cvss-99-enables.html)**.

- **[MongoBleed (CVE-2025-14847) 在野外被利用：你需要知道的一切](https://www.wiz.io/blog/mongobleed-cve-2025-14847-exploited-in-the-wild-mongodb)** 作者 Wiz。

- **[2025 年区块链安全和 AML 年度报告](https://learnblockchain.cn/article/22873)** 作者 SlowMist。

- **[Cyfrin 2025 回顾：Web3 安全审计和开发者教育](https://www.cyfrin.io/blog/cyfrin-2025-wrap-up-advancing-web3-security-audits-and-blockchain-education)**。

- **[Hacken 2025 年度安全报告](https://assets.hacken.io/assets/Hacken-2025-Yearly-Security-Report.pdf)**。

- **[Hack3d：2025 年 Web3 安全报告](https://www.certik.com/resources/blog/hack3d-the-web3-security-report-2025)** 作者 CertiK。

### 犯罪

- **[Coinbase CEO 宣布在印度首次逮捕内部数据泄露案：‘更多还在后面’](https://www.theblock.co/post/383790/coinbase-ceo-announces-first-arrest-in-india-over-insider-data-breach-more-still-to-come)**。

- **[布鲁克林男子被控冒充加密货币交易所代表并诈骗用户，窃取近 1600 万美元](https://www.brooklynda.org/2025/12/19/brooklyn-man-charged-with-stealing-nearly-16-million-by-presenting-himself-as-cryptocurrency-exchange-rep-and-scamming-users/?utm_source=substack&utm_medium=email).** 在 ZachXBT 的**[调查](https://x.com/zachxbt/status/2000540219427135893)** 几个月后就发生了。

- **[前交易所员工因向朝鲜出售军事机密以换取比特币被判处 4 年徒刑](https://bitcoinmagazine.com/news/prison-secrets-to-north-korea-for-bitcoin)**。

- **[前 Pump.fun 开发者因 200 万美元 Solana 欺诈被判处六年监禁](https://decrypt.co/352876/former-pump-fun-dev-sentenced-six-years-prison-2-million-solana-fraud).**

- **[“有人”正在利用 HTX 的储备](https://protos.com/someone-is-taking-advantage-of-htxs-reserves/)**.

### 网络钓鱼

- **[The OpSec Wakeup Call](https://blog.opsek.io/rekt-news-the-opsec-wakeup-call/)** 作者 Pablo Sabbatella (Opsek)。

- **[地址中毒攻击的又一个受害者在 tBTC 中损失了 45 万美元](https://x.com/web3_antivirus/status/2005550064492573155).**

### 媒体

- **Unchained - [加密货币用户如何被 Rekt 以及你如何保持安全](https://www.youtube.com/watch?v=S6qd8lnwOTA)** 与 Pablo Sabbatella 和 Isaac Patka。

- **Lume - [2 分钟内窃取 15 亿美元的黑客](https://youtu.be/C5eoTRUZzCo?si=HP8O7F5w0fdnJI8X)**。

### 研究

- **[审计竞赛的终结？](https://x.com/alix__40/status/2005609298781446216?s=52)** 作者 alix40。

- **[USCSA：基于代理的可升级智能合约的进化感知安全分析](https://arxiv.org/abs/2512.08372)**。

- **[区块链互操作性第 2 部分：关于原子互换的一切](https://themj0ln1r.github.io/writings/blockchain-interoperability-2/)** 作者 TheMj0ln1r。

- **[Bug Bounty 提示之王](https://github.com/KingOfBugbounty/KingOfBugBountyTips).** 来自著名 (web2) Bug 猎人的精选提示集合。

- **[Awesome Move Security](https://github.com/Monethic/awesome-move-security/tree/main)** 作者 Monethic。

- **[Radiant：Solana 程序的符号执行](https://inversive.xyz/blog/Radiant/)** 作者 Inversive Labs。

### 工具

- **[heimdall-eval](https://github.com/Jon-Becker/heimdall-eval)** 作者 Jon Becker。 一种结构化的方法，用于评估和基准测试 Heimdall 的反编译准确性和 CFG 生成质量。

* * *

喜欢阅读 BlockThreat 吗？ **[考虑赞助下一版](https://forms.gle/txRaFt21Qdo1kbMc9)** 或 **[成为付费订阅者](https://www.blockthreat.io/subscribe)** 以解锁高级版块，其中包含关于黑客攻击、漏洞、指标、特别报告和可搜索的时事通讯档案的详细信息。

* * *

>- 原文链接： [newsletter.blockthreat.i...](https://newsletter.blockthreat.io/p/blockthreat-week-52-2025)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

Trust Wallet, Flow, Polymarket, MSCST, JFIN Bridge, Debot,

我们即将结束这一年，共有近 1300 万美元在五起事件中被盗。最严重的是 Trust Wallet 浏览器扩展的完全泄露。

根据最近发布的 post mortem，Trust Wallet 的 GitHub 仓库自 11 月以来（！）就被臭名昭著的 Shai Hulud worm 攻破了。在窃取了 GitHub 的密钥和 Chrome Web Store API 密钥后，攻击者最终发起了攻击，上传了一个恶意扩展，该扩展泄露了用户的私钥。已经有超过 850 万美元从数千名受害者手中被盗。这种性质的供应链攻击可能会成为 2026 年的一个反复出现的主题。正如我之前警告过的那样，现在是锁定仓库的关键时刻，最重要的是，立即轮换被盗的凭据，而不是几周后。

本周还发生了一起特别罕见的利用 Flow 区块链的漏洞。一名攻击者等到年底才利用链执行层中的无限铸币漏洞，盗取了 390 万美元。 Flow 运营商后来选择将链回滚到攻击前的检查点。这是一种粗暴且很大程度上无效的缓解措施，因为它对每次在攻击后进行交易的合法用户产生了负面影响，而攻击者已经将盗取的资金转移出了生态系统。一个更有效的应对措施是隔离或过滤攻击者的交易，正如最近的 Balancer 事件中所展示的那样，Polygon, Gnosis, Berachain 等链协助恢复，而没有中断正常的网络活动。这一事件凸显了 Flow 需要制定一个全面且经过充分演练的事件响应计划。

在时事通讯的高级版块中，你将找到关于 Polymarket 攻击、Trust Wallet 事后分析和后门分析、Flow 区块链无限铸币漏洞等的详细报道。

由于我们即将结束这一年，各种 DeFi 协议、区块链和中心化交易所总共被盗了约 28 亿美元，涉及 363 起事件，因此很容易将 2025 年称为我在关注这个行业大约 8 年来最具挑战性的一年。然而，我们必须继续为正义而战，并使这个行业为每个负担不起基本需求的家庭取得成功，因为他们的储蓄因失败的经济体贬值，资产被腐败机构盗窃，没有机会摆脱贫困，无法进入全球金融市场。加密货币有机会通过将世界包裹在一个不可阻挡的全球金融网络中来解决这个问题和更多的困难，在这个网络中，人们可以安全地与任何地方的任何人进行交易。作为区块链安全行业，我们可以通过为即将上链的数十亿用户创造一个安全可信的环境，为这个未来的早日到来铺平道路。

祝大家新年快乐，并一起进行更多冒险。让我们深入了解新闻！