BlockThreat - 2025年第45周

BlockThreat
发布于 2小时前
阅读 31

本周加密领域发生了多起安全事件，包括 Balancer 被盗 1.32 亿美元，Stream Finance 因损失 9300 万美元导致 DeFi 市场出现连锁反应。此外，还关注了 MIT 兄弟利用 MEV 漏洞的案件审判，以及朝鲜 IT 工作者相关的网络犯罪活动，并介绍了多个安全研究和工具。

本周发生了七起事件，超过 1.32 亿美元被盗。智能合约漏洞利用、系统性稳定币脱锚和流动性危机、绑架等等上周都有发生。然而，本期重点关注今年最大的智能合约漏洞——Balancer 黑客攻击。

![](https://img.learnblockchain.cn/2025/11/18/Fd9434a9e-8b3c-4533-b934-ed161c1aabbf_1904x640.png)

以下是 Balancer 和许多受影响的链和协议采取的一些事件响应措施：

- Balancer 在 20 分钟内暂停了受影响的池、指标和跨链激励。

- Stakewise 执行紧急多重签名，以追回 2070 万美元的 osETH 和 osGNO 代币。

- Monerium 冻结了攻击者的 130 万 EURe。

- Berachain 迅速禁用了受影响的池，同时协调逐步关闭桥，最终停止了链。

- Sonic 立即使用内置的安全机制冻结了\*攻击者的地址。

- Polygon 链开始审查攻击者的地址。

- Gnosis 链部分停止了规范桥。

_\*简单地冻结 ERC20 转账是不够的，因为攻击者能够通过许可批准绕过它们。_

Balancer 在 20 分钟内做出了响应，暂停了池。这在一定程度上减缓了攻击者的速度，但他们仍然能够在首次攻击后近一个小时重新部署并继续第二波攻击。对自己的代币拥有集中控制权的协议，如 osETH、osGNO 和 EURe，能够进行干预并冻结特定的被盗代币。那时核选项被激活了。多个链修补了他们的验证器，以审查攻击者的交易或完全停止他们的链。这种程度的控制通常是不受欢迎的，自从最初的 Dao 黑客攻击以来。然而，这些都是特殊情况下采取的非常措施。

当协议忙于自卫时，白帽黑客介入并开始主动攻击攻击者：

- Bitfinding 机器人抢先攻击了 Base 链上的攻击者，追回了近 100 万美元。

- Berachain 上的一个抢先交易机器人运营商能够拦截价值 1200 万美元的被盗资金，并同意归还资金。

- Base 上的另一个抢先交易机器人运营商归还了 15 万美元。

- Arbitrum 上的又一个抢先交易机器人运营商归还了约 8.2 万美元。

- SEAL/Certora 的救援行动在黑客攻击发生几天后，跨以太坊、Optimism (Beets)、Arbitrum 链追回了 410 万美元。

正如攻击者试图在不同的链上执行他们的漏洞利用时，各种金融和专门的防御机器人都被激活，以立即拦截 1300 万美元。在一个案例中，Bitfinding 机器人能够在攻击者之前几分钟在 Base 上部署一个漏洞利用合约。SEAL 和 Certora 联手执行了一项独立的 410 万美元的救援行动，以应对 Balancer 中尚未被利用的漏洞。

尘埃落定后，相对于被盗的 1.28 亿美元，有近 1800 万美元被拦截或归还。这是一起灾难性的事件，但它为未来哪些方法有效或可能有效提供了思路。

- Balancer 准备了一个紧急行动脚本。如果它能在主网上首次漏洞利用后立即触发就好了。项目有机会改进自动化，或许可以谨慎行事，先暂停，然后再提出问题。

- 战情室运作良好，链、协议和安全研究人员都在协调最佳行动，以减缓漏洞利用并反击。协议应定期练习虚构的战情室场景，以增强其事件响应能力。

- 这次事件的真正赢家是机器人，尤其是 Bitfinding 的机器人。构建专门的防御机器人确实是下一个前沿领域，在我们的行业中几乎没有探索，但已经显示出它的有效性。仅 Berachain 机器人就拦截了攻击者的大部分资金，高达 1260 万美元！

对于行业和 Balancer 来说，这是黑暗的一天。但我们将花时间修补自己，最重要的是从这些事件中吸取宝贵的教训，这将最终使行业更加强大和更有韧性，以应对未来的战斗。

* * *

![](https://img.learnblockchain.cn/2025/11/18/F688306db-fe1a-4172-96c6-53d009f76ab9_1904x640.png)

喜欢阅读BlockThreat吗？ 每周每个版本都需要超过十个小时的仔细研究和准备。 **[考虑赞助](https://forms.gle/txRaFt21Qdo1kbMc9)** 即将发布的问题或 **[成为付费订阅者](https://www.blockthreat.io/subscribe)** 以解锁高级版块，其中包含对黑客攻击、漏洞、特别报告和完全可搜索的简报档案的详细分析。

* * *

在其他新闻中，陪审团未能达成一致裁决，并**[报告了失眠和哭泣](https://x.com/innercitypress/status/1986939715371581609)**，因此 Anton 和 James Peraire Bueno 案件被宣布审判无效。 你可能还记得，兄弟俩使用他们的验证器发送了**[一个专门制作的区块，该区块利用了中继中的一个漏洞](https://collective.flashbots.net/t/post-mortem-april-3rd-2023-mev-boost-relay-incident-and-related-timing-issue/1540)**，该漏洞诱使它揭示了**[通常隐藏的区块交易](https://ethereum.tel/understanding-flashbots-fair-mev-capture-for-proposers/)**。 然后，他们使用这些交易来夹击其他机器人。 辩方，以及令人惊讶的 **[Coin Center](https://www.coincenter.org/amicus-brief-in-support-of-peraire-buenos-objections-to-honest-validator-theory-of-fraud/)**，选择省略了一个软件缺陷被利用的细节，而是将问题描述为仅仅是贪婪的 MEV 运营商，他们应该接受一笔糟糕的交易。 换句话说，经典的“代码即法律”论点。

毫不奇怪，所有这些都让陪审员不知所措。 现在，我们可能会面临一个可能使区块链漏洞利用合法化的法律先例。 这是整个行业都应密切关注的案例，因为错误的先例可能会模糊公平交易和故意利用之间的界限，从而带来重大的长期风险。

让我们深入了解新闻！

### 新闻

- **[分析师在 Stream Finance 损失 9300 万美元后，绘制了 DeFi 中 2.85 亿美元的潜在风险](https://www.theblock.co/post/377491/analysts-map-285m-in-potential-exposure-across-defi-after-stream-finances-93m-loss)。** 该平台在宣布后不久**[停止了提款](https://www.theblock.co/post/377400/stream-finance-halts-withdrawals-93-million-loss)**，导致大规模稳定币**[脱锚](https://x.com/stablewatchHQ/status/1986438113586258357)**、**[流动性危机](https://x.com/deepcryptodive/status/1985725189032734873)**，以及一连串 **[协议](https://x.com/Togbe0x/status/1985817878298284181)** 的 **[停止](https://x.com/YeiFinance/status/1985904459571200079)**，在 **[多个 DeFi 协议中](https://x.com/yieldsandmore/status/1985571764441579649)**。

- **[报告：DWF Labs“可能”在 2022 年与朝鲜有关的黑客攻击中损失 4400 万美元](https://thedefiant.io/news/hacks/dwf-labs-exploited-for-usd44m-in-2022-hack-report)。**

- **[AMD 确认基于 Zen 5 的 CPU 存在安全漏洞，该漏洞会生成潜在的可预测密钥](https://www.tomshardware.com/pc-components/cpus/amd-confirms-security-vulnerability-on-zen-5-based-cpus-that-generates-potentially-predictable-keys-rdseed-fix-coming-through-an-agesa-firmware-update-for-desktop-chips)。**

### 犯罪

- **[麻省理工学院兄弟因涉嫌 2500 万美元加密货币盗窃案被宣布审判无效，陷入僵局的陪审团抱怨泪水和失眠](https://www.businessinsider.com/mistrial-mit-brothers-crypto-ethereum-sandwich-bots-peraire-buono-2025-11)**。

- **[Keonne Rodriguez 被判处 5 年监禁，罚款 25 万美元](https://www.therage.co/keonne-rodriguez-samourai-sentenced/)**。 关于tanuki42 撰写的 **[Samourai 和 Tornado Cash 之间差异](https://x.com/tanuki42_/status/1986796915816640621)** 的相关帖子。

- **[当防御者变成攻击者：网络安全专家因 BlackCat 勒索软件行动而被起诉](https://breached.company/when-the-defenders-become-the-attackers-cybersecurity-experts-indicted-for-blackcat-ransomware-operations/)**。 Kevin Ryan Clifford Goldberg (Sygnia)、Tyler Martin (DigitalMint) 和一个身份不明的 party (DigitalMint) 将他们的勒索软件谈判技巧用于敲诈勒索受害者，作为 ALPHV BlackCat 勒索软件即服务运营的一部分的故事。

- **[在沙漠中与妻子一起被肢解的 5 亿美元诈骗案背后，被判刑的加密货币重罪犯](https://www.dlnews.com/articles/people-culture/russian-crypto-felon-and-wife-killed-in-dubai-amid-500m-scam/)**，此前勒索企图失败。 Roman Novak 此前通过一个诈骗加密货币项目 **[Fintopio](https://decrypt.co/293577/fintopio-launches-first-cedefi-wallet-enabling-crypto-transfers-via-telegram-usernames)** 筹集了 5 亿美元，后来带着投资者的钱逃跑了。 俄罗斯警方已经 **[逮捕了这起残忍谋杀案的嫌疑人](https://www.rt.com/russia/627481-arrest-suspects-crypto-scammer-murder/)**。

- **[西班牙加密货币影响者 CryptoSpain 因 3 亿美元的欺诈和洗钱指控被拘留](https://www.theblock.co/post/378108/spanish-crypto-influencer-cryptospain-detained-on-300-million-fraud-money-laundering-charges)**。

- **[中国正在判处杀猪盘诈骗犯死刑](https://protos.com/china-is-sentencing-pig-butchering-scammers-to-death/)**。

- **[美国财政部制裁参与洗钱网络犯罪收益和 IT 工作者资金的朝鲜银行家和机构](https://home.treasury.gov/news/press-releases/sb0302)**。

- **[从朝鲜 IT 工作者到 IT 招聘人员](https://radar.securityalliance.org/from-north-korean-it-workers-to-it-recruiters/)**，作者是 Security Alliance 和 Heiner Garcia。

- **[CISO 手册：朝鲜 IT 工作者](https://www.sophos.com/en-us/trust/ciso-playbooks)**，作者是 Sophos。

- **[欧盟逮捕了 9 名与 6.89 亿美元加密货币诈骗网络有关的人员](https://decrypt.co/347434/eu-arrests-nine-in-connection-with-689m-crypto-scam-network)**。

- **[法官说，FBI 不应因擦除包含 3.45 亿美元 BTC 的硬盘而受到指责](https://cointelegraph.com/news/fbi-cant-be-blamed-for-wiping-hard-drive-with-345m-bitcoin-say-judges)**。

- **[谷歌威胁报告将 AI 驱动的恶意软件与朝鲜加密货币盗窃联系起来](https://decrypt.co/347781/google-threat-report-links-ai-powered-malware-to-dprk-crypto-theft)**。

- **[加密货币追踪导致全球虐童网络被捣毁时的一人被捕](https://decrypt.co/347789/crypto-tracing-leads-to-arrest-in-global-child-abuse-network-takedown)**。

- **[3 亿美元加密货币庞氏骗局的幕后主使在西班牙被捕](https://protos.com/mastermind-behind-300m-crypto-pyramid-scheme-arrested-in-spain/)**。

### 政策

- **[爱尔兰中央银行因违反反洗钱监控义务而对 Coinbase Europe 处以 2500 万美元的罚款](https://www.theblock.co/post/377909/central-bank-of-ireland-fines-coinbase-europe)**。

### 钓鱼

- **与千里马的部分访谈 [III](https://quetzal.bitso.com/p/interview-with-the-chollima-iii)**, **[IV](https://quetzal.bitso.com/p/interview-with-the-chollima-iv)**, **[V](https://quetzal.bitso.com/p/interview-with-the-chollima-v)**，作者是 Bitso Quetzal 团队。 使用面部改变 AI 技术以及某些拉丁美洲国家的使用尤其令人担忧。

- **[你是自由职业者吗？ 朝鲜间谍可能正在利用你](https://cointelegraph.com/news/freelancer-north-korean-spies-may-using-you)**。

- **[受害者因地址中毒攻击损失 125 万美元](https://x.com/SpecterAnalyst/status/1985351274536050857)**，作者是 Specter。

### 骗局

- **[stablewatch (@stablewatchHQ) on X - 在过去的一周里，收益型稳定币出现了自 UST 崩溃以来最大的资金流出 - 总计 10 亿美元。 其中，仅 xUSD 就占了 4.11 亿美元](https://x.com/stablewatchHQ/status/1986438113586258357)**。

- **[加密货币的 3.2 万亿美元骗局：仅 489 人幕后操纵了大规模 Telegram 拉高抛售](https://medium.com/coinmonks/cryptos-3-2-trillion-scam-just-489-people-behind-massive-telegram-pump-and-dump-9486c39cc6e3)**。

### 恶意软件

- **[区块链恶意软件永无止境的新奇性](https://metamask.io/news/blockchain-malwares-neverending-novelty)**，作者是 Taylor Monahan (Tay)。 恶意软件使用区块链来检索辅助有效载荷的悠久历史。

- **[SleepyDuck 恶意软件通过 Open VSX 入侵 Cursor](https://secureannex.com/blog/sleepyduck-malware/)**，作者是 John Tuckner (Secure Annex)。 有趣的是，此恶意软件样本使用以太坊作为备用 C2 命令通道。

- **[LeakyInjector 和 LeakyStealer Duo 寻找加密货币和浏览器历史记录](https://hybrid-analysis.blogspot.com/2025/11/leakyinjector-and-leakystealer-duo.html)**，作者是 Vlad Pasca, Radu-Emanuel Chiscariu (Hybrid Analysis)。

- **[Android 恶意软件静音警报，耗尽加密货币钱包](https://www.darkreading.com/vulnerabilities-threats/android-malware-mutes-alerts-drains-crypto-wallets)**。

### 媒体

- **[一位加拿大数学天才如何涉嫌偷走数百万美元的加密货币](https://www.youtube.com/watch?v=eU8dBtWfaKc)**，作者是 CBC - The Current。 安第斯·梅杰多维奇的故事。 有趣的是，播客提到安第斯一度在欧洲被捕，但被释放了。

- **bountyhunt3rz - [第 30 集 - mitchell amador](https://www.youtube.com/watch?v=Bn91N3a_U4w)**。

- **[共识协议](https://www.youtube.com/watch?v=MKOReFahF8Q)**，作者是 CBER Forum，Ertem Nusret Taş (a16z Crypto), Joachim Neu (a16z Crypto), Jacob Leshno (University of Chicago)。

- **加密货币市场奇才 - [在 DeFi 中赚取 1000 万美元](https://www.youtube.com/watch?v=7VzYBIMDzxg&t=1979s)**，嘉宾是 **[0xlawlol](https://x.com/0xlawlol)**。 一次特别令人担忧的采访，采访了一位灰帽黑客勒索协议以获取黑客攻击后赏金。

### 比赛

- **[链上 CTF 解决方案](https://x.com/0xKaden/status/1987208162223792274)**，作者是 kaden.eth。

### 研究

- **[从 Balancer 黑客攻击中拦截了 100 万美元](https://bitfinding.com/blog/balancer-exploit-interception)**，作者是 Bitfinding。

- **[供应链攻击：为下周做好准备](https://www.coinspect.com/blog/web3-supply-chain-attacks/)**，作者是 Franco Riccobaldi (Coinspect)。

- **[与 Telegram 交易机器人相关的关键安全风险](https://hashdit.github.io/hashdit/blog/telegram-trading-bot-risks)**，作者是 Sebastian Lim (HashDit)。

- **[保护 29 199 014 133 美元的安全 – 保护以太坊上最大项目之一的方法](https://composable-security.com/blog/secure-billions-with-our-methodology/)**，作者是 Damian Rusinek (Composable Security)。

- **[便签到助记词：如何在现场识别加密货币物品](https://www.trmlabs.com/resources/blog/sticky-notes-to-seed-phrases-how-to-identify-crypto-artifacts-in-the-field)**，作者是 TRM。

- **[掌握 Wake Printers 进行 Solidity 安全分析](https://ackee.xyz/blog/mastering-wake-printers-for-solidity-security-analysis/)**，作者是 Naoki Yoshida (Ackee)。

- **[LLM 漏洞：为什么 AI 模型是下一个重大攻击面](https://netlas.io/blog/llm_vulnerabilities/)**，作者是 Sai Krishna (Netlas)。

- **[什么是 Solana 虚拟机 (SVM)？](https://learnblockchain.cn/article/21693)**，作者是 0xIchigo (Helius)。

- **[Move 漏洞数据库](https://movemaverick.github.io/move-vulnerability-database/#welcome-to-the-move-vulnerability-database-mvd-v10)**，作者是 MoveMaverick。

- Whistleblower007 提供的 Aaron Shames 钱包的示例 **[Arkham Bounty 链上调查](https://pastebin.com/9Ann3U4c)**。 你是否曾经想过

- **[驯服 DeFi 的衔尾蛇](https://x.com/totomanov/status/1981417262729798038)**。 深入研究量化递归贷款风险，以及为什么你的“多元化”收益库可能是一颗定时炸弹，作者是 totomanov。

- **[DeFi 的传染循环：隐藏依赖关系的成本](https://x.com/chaoslabs/status/1986865138729951700)**，作者是 Chaos Labs。

- **[ConneX：自动解决跨链桥的交易不透明性以进行安全分析](https://arxiv.org/abs/2511.01393)**。

- **[FTSmartAudit：一种知识提炼增强框架，用于使用微调 LLM 进行自动化智能合约审计](https://arxiv.org/abs/2410.13918)**。

- **[穿透敌对：通过跨合约分析检测 DeFi 协议漏洞](https://arxiv.org/abs/2511.00408)**。

- **[1 PoCo：用于智能合约的 Agentic 概念验证漏洞利用生成](https://arxiv.org/abs/2511.02780)**。

- **[SoK：加密货币钱包的设计、漏洞和安全措施](https://arxiv.org/abs/2307.12874)**。

- **[PoCo：用于智能合约的 Agentic 概念验证漏洞利用生成](https://arxiv.org/abs/2511.02780)**。

### 工具

- **[操他妈的盲签名：推出 Web3 语义第二因素](https://learnblockchain.cn/article/17303)**，作者是 Bitfinding。

- **[Unblind 第二因素现已可用](https://bitfinding.com/blog/unblind-second-factor-snap)**，作者是 Bitfinding。

- **[Unblind 你的 Safe Dashboard](https://bitfinding.com/blog/unblind-safe-dashboard)**，作者是 Bitfinding。

- **[Routescan 多链浏览器](https://routescan.io/)**。 适用于 79 个区块链的统一浏览器，是跟踪跨链交易的好方法。

* * *

喜欢阅读BlockThreat吗？ **[考虑赞助下一版](https://forms.gle/txRaFt21Qdo1kbMc9)** 或 **[成为付费订阅者](https://www.blockthreat.io/subscribe)** 以解锁高级版块，其中包含有关黑客攻击、漏洞、指标、特别报告和可搜索的简报档案的详细信息。

* * *

>- 原文链接： [newsletter.blockthreat.i...](https://newsletter.blockthreat.io/p/blockthreat-week-45-2025)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

Balancer | Stream Finance | MEV | Peraire-Bueno | Samourai | DPRK IT Workers

以下是 Balancer 和许多受影响的链和协议采取的一些事件响应措施：

Balancer 在 20 分钟内暂停了受影响的池、指标和跨链激励。
Stakewise 执行紧急多重签名，以追回 2070 万美元的 osETH 和 osGNO 代币。
Monerium 冻结了攻击者的 130 万 EURe。
Berachain 迅速禁用了受影响的池，同时协调逐步关闭桥，最终停止了链。
Sonic 立即使用内置的安全机制冻结了*攻击者的地址。
Polygon 链开始审查攻击者的地址。
Gnosis 链部分停止了规范桥。

*简单地冻结 ERC20 转账是不够的，因为攻击者能够通过许可批准绕过它们。

当协议忙于自卫时，白帽黑客介入并开始主动攻击攻击者：

Bitfinding 机器人抢先攻击了 Base 链上的攻击者，追回了近 100 万美元。
Berachain 上的一个抢先交易机器人运营商能够拦截价值 1200 万美元的被盗资金，并同意归还资金。
Base 上的另一个抢先交易机器人运营商归还了 15 万美元。
Arbitrum 上的又一个抢先交易机器人运营商归还了约 8.2 万美元。
SEAL/Certora 的救援行动在黑客攻击发生几天后，跨以太坊、Optimism (Beets)、Arbitrum 链追回了 410 万美元。

尘埃落定后，相对于被盗的 1.28 亿美元，有近 1800 万美元被拦截或归还。这是一起灾难性的事件，但它为未来哪些方法有效或可能有效提供了思路。

Balancer 准备了一个紧急行动脚本。如果它能在主网上首次漏洞利用后立即触发就好了。项目有机会改进自动化，或许可以谨慎行事，先暂停，然后再提出问题。
战情室运作良好，链、协议和安全研究人员都在协调最佳行动，以减缓漏洞利用并反击。协议应定期练习虚构的战情室场景，以增强其事件响应能力。
这次事件的真正赢家是机器人，尤其是 Bitfinding 的机器人。构建专门的防御机器人确实是下一个前沿领域，在我们的行业中几乎没有探索，但已经显示出它的有效性。仅 Berachain 机器人就拦截了攻击者的大部分资金，高达 1260 万美元！

喜欢阅读BlockThreat吗？每周每个版本都需要超过十个小时的仔细研究和准备。 考虑赞助 即将发布的问题或 成为付费订阅者 以解锁高级版块，其中包含对黑客攻击、漏洞、特别报告和完全可搜索的简报档案的详细分析。

在其他新闻中，陪审团未能达成一致裁决，并报告了失眠和哭泣，因此 Anton 和 James Peraire Bueno 案件被宣布审判无效。你可能还记得，兄弟俩使用他们的验证器发送了一个专门制作的区块，该区块利用了中继中的一个漏洞，该漏洞诱使它揭示了通常隐藏的区块交易。然后，他们使用这些交易来夹击其他机器人。辩方，以及令人惊讶的 Coin Center，选择省略了一个软件缺陷被利用的细节，而是将问题描述为仅仅是贪婪的 MEV 运营商，他们应该接受一笔糟糕的交易。换句话说，经典的“代码即法律”论点。

毫不奇怪，所有这些都让陪审员不知所措。现在，我们可能会面临一个可能使区块链漏洞利用合法化的法律先例。这是整个行业都应密切关注的案例，因为错误的先例可能会模糊公平交易和故意利用之间的界限，从而带来重大的长期风险。

让我们深入了解新闻！

钓鱼

与千里马的部分访谈 III, IV, V，作者是 Bitso Quetzal 团队。使用面部改变 AI 技术以及某些拉丁美洲国家的使用尤其令人担忧。
你是自由职业者吗？朝鲜间谍可能正在利用你。
受害者因地址中毒攻击损失 125 万美元，作者是 Specter。

骗局

恶意软件

区块链恶意软件永无止境的新奇性，作者是 Taylor Monahan (Tay)。恶意软件使用区块链来检索辅助有效载荷的悠久历史。
SleepyDuck 恶意软件通过 Open VSX 入侵 Cursor，作者是 John Tuckner (Secure Annex)。有趣的是，此恶意软件样本使用以太坊作为备用 C2 命令通道。
LeakyInjector 和 LeakyStealer Duo 寻找加密货币和浏览器历史记录，作者是 Vlad Pasca, Radu-Emanuel Chiscariu (Hybrid Analysis)。
Android 恶意软件静音警报，耗尽加密货币钱包。

媒体

一位加拿大数学天才如何涉嫌偷走数百万美元的加密货币，作者是 CBC - The Current。安第斯·梅杰多维奇的故事。有趣的是，播客提到安第斯一度在欧洲被捕，但被释放了。
bountyhunt3rz - 第 30 集 - mitchell amador。
共识协议，作者是 CBER Forum，Ertem Nusret Taş (a16z Crypto), Joachim Neu (a16z Crypto), Jacob Leshno (University of Chicago)。
加密货币市场奇才 - 在 DeFi 中赚取 1000 万美元，嘉宾是 0xlawlol。一次特别令人担忧的采访，采访了一位灰帽黑客勒索协议以获取黑客攻击后赏金。