BlockThreat - 2025年第27周周报

本周，三个协议总计被盗超过 550 万美元，使用的攻击手段都是大家熟悉的，比如价格预言机操纵和私钥盗窃。但真正抢走风头的是那笔 80,000 BTC 的巨额转账争议。

有人发现了一个神秘的链上活动，目标是沉寂的 2011 年代的比特币钱包。它使用 OP_RETURN 交易发送法律声明，以及在线表格的链接，用于收集敏感的钱包数据。其中一个接收者转移了 80,000 BTC（86 亿美元），这引发了一波投机狂潮。各种理论 涌现，从黑客攻击或 ECDSA nonce 复用漏洞到有组织的法律查封。一个名为 Salomon Brothers 的可疑法律实体分享了一份声明，称他们的客户“寻求减轻废弃钱包带来的全球安全问题”。尽管有这么多噪音，但仍然没有确凿的证据表明这会是比特币历史上最大的一次黑客攻击。

让我们深入了解新闻！

新闻

• CVE-2025-32462 , CVE-2025-32463 Sudo chroot, host Option Elevation of Privilege Vulnerabilities(Sudo chroot，host 选项提权漏洞) by Rich Mirch (Stratascale)。在最受审计的安全实用程序中发现了一个 12 年前的漏洞。 如果你觉得所有的错误都已经找到了，那就把它留在这里吧 ;-)

• AT&T 现在允许你锁定你的帐户以防止 SIM 卡交换攻击。

• 黑客如何仅花费 2700 美元从巴西银行窃取 1.4 亿美元。

• The Red Guild #17 的现状。

• OpenZeppelin 正在停止 Defender security dashboard(Defender 安全仪表板)。

• 2025 Q2 MistTrack Stolen Funds Analysis(2025 年 Q2 MistTrack 被盗资金分析) by Lisa (SlowMist)。

• 2025 Mid-year Blockchain Security and AML Report(2025 年中期区块链安全和 AML 报告) by SlowMist。

• Hack3d: The Web3 Security Quarterly Report - Q2 + H1 2025(Hack3d：Web3 安全季度报告 - 2025 年 Q2 + H1) by CertiK。

犯罪

• 2,800 美元的贿赂导致巴西金融公司 1.48 亿美元的黑客攻击；通过加密货币洗钱 4000 万美元。

• 比特币开发者 Jon Atack 本周末在萨尔瓦多被捕。

• 西班牙捣毁加密投资诈骗团伙，该团伙欺骗了全球 5000 名受害者 by Europol。

• 财政部制裁为网络犯罪分子和技术盗窃提供便利的全球防弹主机服务。

• 司法部宣布协调一致的全国行动，以打击朝鲜远程信息技术人员的非法收入产生计划。

• 四名朝鲜人被指控犯有近 100 万美元的加密货币盗窃计划。

• 他认为一名员工偷了加密货币。 FBI 说这是一个朝鲜骗子。

• Burwick Law 希望通过 NFT 送达 4.4 亿美元的加密货币诉讼。

• 从在线黑客攻击到线下抢劫：加密货币领导人在越来越多的攻击中处于边缘状态。

• ZKasino 地毯式骗局嫌疑人在阿拉伯联合酋长国被捕。

钓鱼

• GitHub 上的一个流行的 Solana 工具隐藏了一个加密货币盗窃陷阱 by Thinking (SlowMist)。

• 全面的链上钓鱼分析和用户反欺诈指南 by SafePal and GoPlus。

• Synthetix X(Twitter) 主帐户已被黑客入侵。

• 恶意招聘面试 repo 内部 by pcaversaccio。

• 诈骗者冒充特朗普-万斯官员窃取了 25 万美元的加密货币。

• 人工智能主题的 SEO 中毒攻击传播信息，加密货币窃取者。

诈骗

• The Eco-Friendly Rug Pull骗局 by Rekt。

恶意软件

• macOS NimDoor - 朝鲜威胁行为者使用基于 Nim 的恶意软件瞄准 Web3 和加密货币平台 by Phil Stokes & Raffaele Sabato (Sentinel One)。

• FoxyWallet：暴露了 40 多个恶意 Firefox 扩展 by Yuval Ronen (Koi Security)。

• 在野外利用暴露的 JDWP：当调试端口保持打开时会发生什么 by Yaara Shriki, Gili Tikochinski (Wiz)。

媒体

• Crypto In America - Roman Storm 就 Tornado Cash 和 DOJ 法院案件打破沉默。

• EthCC[8] 2025 - 安全 和相关演讲：

  • Tincho (The Red Guild), Matta (The Red Guild) - 使用 The Phishing Dojo 进行实用网络钓鱼检测。

  • Maxim Andreev - 从 EVM 字节码重建控制流图：更快，更好，更强大。

  • Jan Gorzny - 复制历史漏洞的挑战。

  • Jack Sanford (Sherlock) - 1 个月内从零到智能合约审计员。

  • nisedo (Trail of Bits) - 如何成为智能合约审计员。

  • Robin Guerchon(Ministry of interior - Cyberspace)-加密资产安全：保护人民和资金。

  • Matthias Egli (Chainsecurity), Julien Bouteloup (Rekt)-自 ETHCC 2024 以来的顶级黑客攻击。

  • noid (Kraken)-巨魔，但要验证：来自朝鲜求职者的安全教训。

  • Karolina GORNA (Ledger) - 使用 Concolic Execution 寻找区块链客户端的错误。

  • Bartek Kiepuszewski (L2BEAT) - 重新分类后 L2 的状态。

  • Michael Zaikin (StarkWare)-L2 和 L3 AppChains 的安全挑战。

  • Ellie (Espresso Systems) - 排序器确认是否足够好？

  • Ábel Nagy (Budapest, Eötvös Loránd University) - 分叉 RANDAO 操纵。

  • Ray Orlev (Certora) - Restaking 协议：暴露阿喀琉斯之踵。

  • Noah Jelich - 用键盘杀戮 – 如何将你的数字足迹武器化。

  • Charles Guillemet (ledger) 从混乱到信心：模拟并清除你的交易签名。

  • Ryan McPeck (MetaMask) - 下一代权限：MetaMask 如何赋能用户。

  • Mooly Sagiv (Certora) 使用形式验证保护 AI 辅助的 DeFi 开发。

  • Pamina Georgiou (Certora) - 使用 Certora Prover 保护你的协议。

  • Uri Kirstein (certora) - 模糊测试和形式验证的最佳结合。

  • Kostas Ferles (Veridise) - 持久的 ZKVM 确定性：从审计到持续验证。

  • Agustincito (SCI) - SCI：通过智能合约验证增强 Web3 安全性。

  • Benjamin Samuels (Trail of Bits)-15 亿美元的问题：交易所如何构建更安全的冷存储。

  • btchip, Julien Ready, Seb - 自主管理：嬉皮士 VS 英雄。

  • CvH (Polygon)-作为 CISO 的残酷现实。

  • Maya Dotan - UnSafe：当 web2 安全破坏 web3 时。

  • EMRAH SARIBOZ (Coinbase), Tom Ryan (Coinbase)-你部署了你的项目，现在怎么办？

  • Jonathan Levin - 关闭窗户并锁定前门，防止 2025 年的资金损失。

  • Remi Gai (Inco) - 机密 ERC20 框架：链上机密性的新原语提案。

  • Christoph Niemann (AWS) - 索引区块链。

  • btchip (ZKNox), Christina Frankopan (Lazard), Anya Nova (GK8 ) - 个人 opsec：炫耀 vs 平淡。

  • Deli Gong - 以太坊的未来取决于 TEE。

  • Ouriel ohayon (Zengo) - 加密货币企业家的物理和数字保护。

• Episode 18 - riptide(第 18 集 - 潮流)。

• Episode 19 - 0xe4669da [SPECIAL n00b EDITION(第 19 集 - 0xe4669da [特别 n00b 版])]。

• Offbeat (@offbeatblog_eth) 在 X 上。

🚨 PSA - F*ck Kim Jong 家族测试已泄露 🚨 整个家族都知道了我们。 保持安全！

研究

• 为了乐趣和利润而控制 Solana - 利用一个微妙的 Rust 错误来实现验证器 RCE 和印钞 by Anatomist。

• Rekt - 事后分析之后。 Cork Protocol 黑客攻击的故事仍在继续。

• LISA 在 OWASP 智能合约 Top 10 上实现了 90% 的检测率。

• Hyperlane 的速率限制 ISM 和 Hook 中的访问控制缺陷 by Sujith Somraaj。

• Solana 生态系统中的供应链攻击 by Catalin Neagu (Adevar Labs)。

• Bug Hunt：零知识，完全偏执，以及回报的人工智能 by ZKSecurity。

• 使用 Claude 进化专业 AI 智能合约审计员 by Dacian。

• Nobitex 泄露事件内部：泄露的源代码揭示了伊朗的加密货币基础设施 by TRM。

• Magic Animal Carousel：完整漏洞利用和漏洞 by Cyphertux。

• 对强大的 Web3 渗透测试和供应链安全的需求 by Chirag Agrawal (Guardrail)。

• 理性审查攻击：用黑板打破区块链。

• 区块链地址中毒。

工具

• LISA- 一款由 LLM 驱动的智能安全分析器。

• Quimera - 用于以太坊智能合约的反馈驱动的漏洞利用生成，使用 LLM。

• AI Auditor Primers(AI 审计员入门) by Dacian。 此存储库包含开源的 Primer 文档，在进行智能合约审计之前由 AI 摄取。

• Audit Contests Rewards Calculator(审计竞赛奖励计算器) by valuevalk。

• deployment_validation- ChainSecurity 简化了基于 EVM 的智能合约的部署验证。

• • *

喜欢阅读 BlockThreat 吗？考虑赞助下一期 或成为付费订阅者，解锁高级版块，其中包含关于黑客攻击、漏洞、指标、特别报告和可搜索的新闻通讯档案的详细信息。

• 原文链接： newsletter.blockthreat.i...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～