BlockThreat - 2025年第35周

BlockThreat
发布于 22小时前
阅读 143

本周发生了多起安全事件，包括Better Bank的$5.5M漏洞利用，Cozy Finance的$427K损失。白帽黑客和漏洞赏金计划在Panoptic和Eigenlayer的事件中发挥了作用。此外，还出现了新的网络钓鱼攻击手段，针对社交媒体应用和智能浏览器。文章还介绍了多个与加密货币相关的犯罪案件、政策讨论、恶意软件攻击以及一系列的研究工具和安全分析。

本周发生了五起事件，总计损失近 550 万美元。Better Bank 遭受了一次 500 万美元的攻击，该攻击滥用了其在与虚假流动性池交互时奖励机制中的一个缺陷。Cozy Finance 在一个案例中损失了 42.7 万美元，原因是允许赎回时未正确验证源地址。

![](https://img.learnblockchain.cn/2025/09/03/F9d6e2e9d-0028-4410-a169-a63706a3834f_1904x640.png)

除了攻击之外，本周还通过白帽和漏洞赏金计划的努力，强调了生态系统的韧性。Panoptic 在 Cantina 和 SEAL911 的支持下进行了一次白帽救援，而 Eigenlayer 在通过 Immunefi 披露了一个关键漏洞后，部署了一个紧急补丁。

在网络钓鱼方面，我们看到了新兴攻击媒介的早期迹象，因为钱包开始与社交媒体应用程序和代理浏览器集成。这些趋势将开辟新的利用途径，但也让防御者有机会立即开始准备对策。

让我们深入了解新闻！

### 新闻

- **[Panoptic 协议在 Cantina 和 SEAL911 的支持下，在三个链上执行了一次白帽救援行动](https://x.com/Panoptic_xyz/status/1961187739866644524)。**

- **[在通过 Immunefi 负责任地披露了一个关键错误后，Eigenlayer 为 EigenPods 部署了一个紧急补丁](https://forum.eigenlayer.xyz/t/eigenpods-bug-fix-completed-august-29-2025/14713)**。

- **[Bitcoin Core 开发者认为攻击 Knots 很容易，而且很有趣](https://protos.com/bitcoin-core-devs-think-it-would-be-easy-and-funny-to-attack-knots/)**。

- **[萨尔瓦多将比特币持有量分配到 14 个地址之间，以“增强安全性”来对抗量子威胁](https://www.theblock.co/post/368850/el-salvador-splits-bitcoin-holdings-between-14-addresses-to-enhance-security-against-quantum-threats)**。

- **[WhatsApp 修复了用于使用间谍软件入侵 Apple 用户的“零点击”漏洞](https://techcrunch.com/2025/08/29/whatsapp-fixes-zero-click-bug-used-to-hack-apple-users-with-spyware/)。**

### 犯罪

- **[泰国当局逮捕了与普吉岛加密货币抢劫案有关的加密货币罪犯](https://www.cryptopolitan.com/thai-authorities-apprehend-crypto-criminal/)**。

- **[加纳诈骗犯因 BEC/Sakawa 被捕](https://garwarner.blogspot.com/2025/08/ghanaian-fraudsters-arrested-for.html)**。

- **[Kimsuky APT 泄露内幕：被盗的 GPKI 证书、Rootkit 和朝鲜网络部门的个性化 Cobalt Strike](https://foresiet.com/blog/kimsuky-apt-data-leak/)**，作者 Foresiet。

- **[财政部制裁资助朝鲜武器计划的欺诈网络](https://home.treasury.gov/news/press-releases/sb0230)。** OFAC 制裁针对朝鲜 IT 工作人员的庞大网络，其中包括一名为该政权提供便利付款的俄罗斯国民。

- **[韩国在数百万美元的加密货币损失后破获黑客集团](https://decrypt.co/337314/south-korea-busts-hacking-syndicate-after-multi-million-dollar-crypto-losses)**。

- **[加密货币窃贼因袭击证人而被判处额外刑期](https://www.theregister.com/2025/08/26/crypto_thief_witness_assault/)**。Remy Ra St Felix 此前因对一系列 **[加密货币所有者的暴力袭击](https://www.theregister.com/2024/06/26/us_convicts_vicious_cryptorobbing_gang/)** 被判处 47 年徒刑。

- **[在印度比特币勒索案中，包括 11 名警察在内的 14 人被判处终身监禁](https://www.theblock.co/post/368846/14-sentenced-to-life-imprisonment-in-indian-bitcoin-extortion-case-including-11-police-officers)。**

### 政策

- **[DeFi 教育基金聚集最大的行业联盟来保护开发者](https://www.therage.co/defi-education-fund-coalition-to-protect-developers/)**。

- **[代码中的分叉](https://rekt.news/fork-in-the-code)**，作者 Rekt，考察了美国财政部的数字身份和政府监督提案。

### 网络钓鱼

- 据报告，有更多 **[受感染的 TG 账户邀请受害者参加带有恶意软件表格的虚假播客](https://x.com/0xzak/status/1959959703011606886)**。

- **[虚假的 Binance 消息和电话再次出现](https://x.com/web3_antivirus/status/1958883006363390016)。**

- **[消失的沙盒：社交应用程序中的钱包引发新的攻击](https://x.com/coinspect/status/1959305272981114893)**，作者 Coinspect Security。

- **[代理浏览器安全：Perplexity Comet 中的间接提示注入](https://brave.com/blog/comet-prompt-injection/)**，作者 Brave。

### 诈骗

- **[我刚刚被骗了 125 万美元](https://x.com/smilingerik/status/1961439631653617983)**，作者 Erik Bergman。一个关于非洲假油井、名人和紧急Coin投资的故事。

### 恶意软件

- **[Nx 包妥协：恶意软件创建“s1ngularity-repository”来窃取机密](https://ossprey.com/blog/nx-package-compromise/)**，作者 Ossprey Security。

- **[ShadowCaptcha 利用 WordPress 站点传播勒索软件、信息窃取器和加密货币矿工](https://thehackernews.com/2025/08/shadowcaptcha-exploits-wordpress-sites.html)**。

- **[查找恶意软件：DIRTYBULK 和朋友 - USB 感染助长网络犯罪分子挖矿行动](https://security.googlecloudcommunity.com/community-blog-42/finding-malware-dirtybulk-and-friends-usb-infections-to-fuel-cybercriminal-coinmining-operations-5552)**，作者 Michelle Morales (Google Cloud)。

### 媒体

- **Web3 安全播客 - [Polygon 的 13 步多重签名流程保护数十亿美元](https://www.youtube.com/watch?v=-wiSbe9rWL4)**，嘉宾 Chris von Hessert。

- **bountyhunt3rz - [第 24 集 - josselin feist](https://www.youtube.com/watch?v=bUsaqKasI8A)**。

- **DSS 网络研讨会 -** **[使用 Brahma、CoW Swap & Mimic 实现自动化安全](https://www.youtube.com/live/OGTVuTMXu-U?si=lON1F7E-kIwK9ine)**。

### 研究

- **[Bybit 漏洞利用六个月后：朝鲜的新型洗钱策略、技术和程序以及隐约的威胁](https://www.elliptic.co/blog/bybit-exploit-six-months-on)**，作者 Elliptic。

- **[跨链桥漏洞利用中 MEV 的经济学：一个博弈论分析](https://learnblockchain.cn/article/20096)**，作者 Gareth Larkan (Sigma Prime)。

- **[构建安全 Noir 电路的开发者指南](https://learnblockchain.cn/article/19986)**，作者 Felix Wegener (OpenZeppelin)。

- **[立即实施 EIP-7730](https://learnblockchain.cn/article/20280/)**，作者 Coriolan Pinhas (Trail of Bits)。针对盲签名和多重签名劫持攻击的实用解决方案。

- **[你应该使用哪个模糊器？](https://x.com/0xScourgedev/status/1895549555888050193)**，作者 0xScourgedev 分享了关于不同模糊测试方法的优缺点的指南。

- **[如何从突发故障中恢复浏览器钱包扩展程序？](https://learnblockchain.cn/article/20279?source=rss-4ceeedda40e8------2)**，作者 Lisa 和 Aro (SlowMist)。

- **[以太坊地址是如何派生的（EOA、CREATE 和 CREATE2）](https://learnblockchain.cn/article/19925)**，作者 RareSkills。

- **[EIP-7702：账户抽象的新纪元](https://quillaudits.medium.com/eip-7702-a-new-era-in-account-abstraction-f8d344325ae8?source=rss-777959014b94------2)**，作者 QuillAudits。

- **[MoveScanner：Move 智能合约安全风险分析](https://arxiv.org/abs/2508.17964)**。

- **[量子时代的区块链安全风险评估、迁移策略和主动防御](https://arxiv.org/abs/2501.11798)**。

- **[使用预训练编程语言模型进行智能合约意图检测](https://arxiv.org/abs/2508.20086)**。

- **[BridgeShield：通过异构图挖掘增强跨链桥接应用程序的安全性](https://arxiv.org/abs/2508.20517)**。

### 工具

- **[Web3 漏洞存储库](https://github.com/LyuboslavLyubenov/clustered-web3-vulnerabilities/tree/main)**，作者 Lyuboslav Lyubenov。一个全面的智能合约漏洞集群集合，这些漏洞通过安全审计发现，按严重程度和发生频率组织。在 461 个集群中，有超过 2.9 万个独特的漏洞按发生频率排序。

- **[Hound](https://github.com/muellerberndt/hound)**，作者 Bernhard Mueller，是一个用于 AI 辅助代码审查的安全审计自动化管道，它反映了专家审计师的思考、学习和协作方式。有关更多详细信息，请参阅 **[释放 Hound：AI 代理如何在任何代码库中发现深层逻辑错误](https://learnblockchain.cn/article/20281)**。

- **[ScaBench：智能合约审计基准](https://github.com/muellerberndt/scabench)**，作者 Bernhard Mueller。一个全面的框架，用于评估真实智能合约漏洞上的安全分析工具和 AI 代理。ScaBench 提供了来自最新审计的精选数据集和用于一致评估的官方工具。

- **[EvmCast](https://www.evmcast.xyz/)** \- 浏览器中的 Foundry Cast。直接从 Web 终端执行区块链命令、查询合约并与 EVM 网络交互。

- **[Osiris Lite](https://github.com/Enigma-Dark/osiris-lite)**，作者 Enigma Dark，是一个干净、即插即用的 CLI 工具，用于管理远程模糊测试作业。更多详细信息请 **[点击此处](https://x.com/EnigmadarkLabs/status/1961183277655446007)**。

- **[Halmos 日志解析器](https://x.com/getreconxyz/status/1961469887022281014)** 自动将 Halmos 测试转换为 Foundry Repros。

- **[Solana Indexer CLI](https://learnblockchain.cn/article/20284)** \- 一款强大的命令行工具，用于实时 Solana 区块链监控、账户跟踪和数据索引，具有高级缓存和 gRPC 流功能，作者 senzenn。

- **[EvmTools](https://www.evmtools.xyz/)** \- 以太坊和 EVM 兼容网络的基本区块链开发工具。

>- 原文链接： [newsletter.blockthreat.i...](https://newsletter.blockthreat.io/p/blockthreat-week-35-2025)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

让我们深入了解新闻！

新闻

犯罪

泰国当局逮捕了与普吉岛加密货币抢劫案有关的加密货币罪犯。
加纳诈骗犯因 BEC/Sakawa 被捕。
Kimsuky APT 泄露内幕：被盗的 GPKI 证书、Rootkit 和朝鲜网络部门的个性化 Cobalt Strike，作者 Foresiet。
财政部制裁资助朝鲜武器计划的欺诈网络。 OFAC 制裁针对朝鲜 IT 工作人员的庞大网络，其中包括一名为该政权提供便利付款的俄罗斯国民。
韩国在数百万美元的加密货币损失后破获黑客集团。
加密货币窃贼因袭击证人而被判处额外刑期。Remy Ra St Felix 此前因对一系列 加密货币所有者的暴力袭击 被判处 47 年徒刑。
在印度比特币勒索案中，包括 11 名警察在内的 14 人被判处终身监禁。

政策

DeFi 教育基金聚集最大的行业联盟来保护开发者。
代码中的分叉，作者 Rekt，考察了美国财政部的数字身份和政府监督提案。

网络钓鱼

据报告，有更多 受感染的 TG 账户邀请受害者参加带有恶意软件表格的虚假播客。
虚假的 Binance 消息和电话再次出现。
消失的沙盒：社交应用程序中的钱包引发新的攻击，作者 Coinspect Security。
代理浏览器安全：Perplexity Comet 中的间接提示注入，作者 Brave。

诈骗

我刚刚被骗了 125 万美元，作者 Erik Bergman。一个关于非洲假油井、名人和紧急Coin投资的故事。

工具

Web3 漏洞存储库，作者 Lyuboslav Lyubenov。一个全面的智能合约漏洞集群集合，这些漏洞通过安全审计发现，按严重程度和发生频率组织。在 461 个集群中，有超过 2.9 万个独特的漏洞按发生频率排序。
Hound，作者 Bernhard Mueller，是一个用于 AI 辅助代码审查的安全审计自动化管道，它反映了专家审计师的思考、学习和协作方式。有关更多详细信息，请参阅 释放 Hound：AI 代理如何在任何代码库中发现深层逻辑错误。
ScaBench：智能合约审计基准，作者 Bernhard Mueller。一个全面的框架，用于评估真实智能合约漏洞上的安全分析工具和 AI 代理。ScaBench 提供了来自最新审计的精选数据集和用于一致评估的官方工具。
EvmCast - 浏览器中的 Foundry Cast。直接从 Web 终端执行区块链命令、查询合约并与 EVM 网络交互。
Osiris Lite，作者 Enigma Dark，是一个干净、即插即用的 CLI 工具，用于管理远程模糊测试作业。更多详细信息请 点击此处。
Halmos 日志解析器 自动将 Halmos 测试转换为 Foundry Repros。
Solana Indexer CLI - 一款强大的命令行工具，用于实时 Solana 区块链监控、账户跟踪和数据索引，具有高级缓存和 gRPC 流功能，作者 senzenn。
EvmTools - 以太坊和 EVM 兼容网络的基本区块链开发工具。