BlockThreat - 2025年第24周

blockthreat
发布于 5天前
阅读 27

该文章是BlockThreat发布的一篇安全周报，内容涵盖了加密货币领域的最新安全事件、犯罪活动、网络钓鱼、诈骗以及恶意软件等信息。此外，还包括一些研究论文、安全工具以及媒体报道，例如Bitrue被攻击事件，以及关于Cosmos,Solana,Uniswap V4, NFT智能合约安全等方向的研究。

罕见的一周没有重大事件发生，这意味着我们终于有机会赶上长期排队的文章、工具和竞赛。本周我最喜欢的内容包括一些可靠的供应链安全指南、SEAL 的个人安全指南，当然还有利用 AI 浪费诈骗犯时间的绝妙方法。并且不要忘记复习最新的网络钓鱼事件，以保持那些攻击媒介的新鲜度。

[![](https://img.learnblockchain.cn/2025/06/25/F6014373b-1882-4afc-a523-a0f92b0b1993_1904x640.png)](https://substackcdn.com/image/fetch/$s_!4tbw!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F6014373b-1882-4afc-a523-a0f92b0b1993_1904x640.png)

在深入研究下面所有出色的研究论文之前，请务必查看我们的赞助商 **[Coinspect](https://www.coinspect.com/)** 的出色工作。

* * *

[![](https://img.learnblockchain.cn/2025/06/25/F652b9c69-7934-4fb0-afc8-6fbdb831e7a4_1280x426.png)](https://www.coinspect.com/wallets/)

Coinspect 的钱包安全排名是对领先的加密货币钱包的客观、透明且定期更新的评估。它侧重于关键的安全功能，如反钓鱼防御、交易清晰度和防止盲签名的保护，帮助用户选择优先考虑其安全的钱包。

链接：**[https://www.coinspect.com/wallets/](https://www.coinspect.com/wallets/)**

* * *

喜欢阅读 BlockThreat 吗？**[考虑赞助下一期](https://forms.gle/txRaFt21Qdo1kbMc9)** 或 **[成为付费订阅者](https://www.blockthreat.io/subscribe)** 以解锁高级部分，其中包含关于黑客攻击、漏洞、指标、特别报告和可搜索的新闻通讯档案的详细信息。

* * *

让我们深入了解新闻！

### 新闻

- **[Bitrue 攻击者向 Tornado Cash 发送更多 ETH](https://protos.com/bitrue-exploiter-sends-more-eth-to-tornado-cash/)**。

- **[被盗 $6.47 亿——2025 年 5 月加密货币犯罪报告](https://medium.com/coinmonks/647m-stolen-the-may-2025-crypto-crime-report-0abd96e06935?source=rss-42d24644e3af------2)**，Nefture Security 出品。

- **[2024 年加密货币犯罪报告](https://medium.com/coinmonks/the-2024-crypto-crime-report-a7c621589510?source=rss-42d24644e3af------2)**，Nefture Security 出品。

### 犯罪

- **[俄罗斯招募了一名少年间谍。他的被捕导致了一条加密货币的踪迹](https://www.reuters.com/investigates/special-report/europe-espionage-teen-spy/)**。

- **[在国际刑警组织的信息窃取者打击行动中，20,000 个恶意 IP 和域名被删除](https://www.interpol.int/en/News-and-Events/News/2025/20-000-malicious-IPs-and-domains-taken-down-in-INTERPOL-infostealer-crackdown)**。

- **[泰国警方逮捕了一名涉嫌 610 万美元比特币欺诈案的中国嫌疑人](https://decrypt.co/325028/thai-police-arrest-chinese-suspect-bitcoin-fraud-case)**。

- **[一位 YouTube 用户如何入侵菲律宾宿务的一个价值 80 万美元的加密货币诈骗中心](https://cointelegraph.com/explained/how-a-youtuber-hacked-an-800k-crypto-scam-hub-in-cebu-philippines)**。

### 网络钓鱼

- **[如果你怀疑你的计算机已被黑客入侵，请立即执行以下操作](https://docs.google.com/document/d/1r03ieT7Cl5K-8cIBTcbf1yCtol2Ol2KU49IbuiLBvCQ/edit?rm=minimal&tab=t.0)**。Tay / SEAL 的指南。

- **[另一份难以捉摸的彗星事件报告](https://x.com/bax1337/status/1933858485424570424)**，Nick Bax 撰写。冒充记者试图通过 Zoom 通话安装恶意软件。

- **[Discord 邀请链接劫持传递 AsyncRAT 和 Skuld Stealer，目标是加密钱包](https://thehackernews.com/2025/06/discord-invite-link-hijacking-delivers.html)**。

- **[2025 年区块链和加密货币威胁报告：开源供应链中的恶意软件](https://socket.dev/blog/2025-blockchain-and-cryptocurrency-threat-report?utm_medium=feed)**，Socket 出品。

- **[强大的 Web3 渗透测试和供应链安全的需求](https://web3secnews.substack.com/p/the-need-for-robust-web3-pentesting)**，Chirag Agrawal 撰写。

- **[社交恢复钱包从设计上就是坏的](https://www.rekt.news/Social-Recovery-Wallets-are-Broken-by-Design)**，Rekt 撰写。

- **[Web3 钱包安全职业道路](https://updraft.cyfrin.io/career-tracks/web3-wallet-security)**，Cyfrin Updraft 出品。

- **[什么是加密货币中的供应链攻击，如何防止它？](https://cointelegraph.com/explained/what-is-a-supply-chain-attack-in-crypto-and-how-to-prevent-it)**

### 诈骗

- **[SIPSentinel](https://github.com/michael-bey/SIP-Sentinel)** - 一种由 AI 驱动的诈骗检测和响应系统，可自动部署会话代理来浪费诈骗犯的时间。你可以在**[此处](https://x.com/__noided/status/1932991496673731014)**找到诈骗犯通话示例，在**[此处](https://sip-sentinel.vercel.app/)**找到示例面板。太棒了！

### 恶意软件

- **[DanaBot 恶意软件 C2 服务器漏洞暴露了威胁行为者的用户名和加密密钥](https://cybersecuritynews.com/danabot-malware-c2-server-vulnerability/)**。

- **[LockBit 的管理面板泄露暴露了其附属机构和数百万美元的加密货币](https://cybersecuritynews.com/lockbits-admin-panel-leak/)**。

- **[在 Play 商店中发现了 20 多个加密货币网络钓鱼应用程序，窃取助记词](https://cyble.com/blog/crypto-phishing-applications-on-the-play-store/)**，Cyble 出品。

- **[数百台俄罗斯设备受到罕见的 Werewolf 加密货币挖矿攻击](https://therecord.media/russian-devices-hit-by-rare-werewolf-crypto-mining)**。

### 媒体

- **[HoshoCon 2018 - Andreas Antonopolous 主题演讲](https://www.youtube.com/watch?v=10yt0LMmxXk)**。由 Andreas 带来的历史性演讲，来自第一次区块链安全会议，其中关于风险、失败和安全的建议在七年后仍然适用！

### 研究

- **[个人安全旅行指南](https://frameworks.securityalliance.dev/opsec/travel/guide.html#personal-security-travel-guide--full)**，matta（Red Guild 和 SEAL）撰写

- **[智能合约安全的自定义 Fuzzing](https://learnblockchain.cn/article/17109)**，Paul (Cantina) 撰写。

- **[Cosmos 安全：水獭指南](https://osec.io/blog/2025-06-10-cosmos-security)**。

- **[Solodit 检查清单解释 (9): 重放攻击](https://learnblockchain.cn/article/17003)**，Hans (Cyfrin) 撰写。

- Solidity ABI 编码的深度心理模型：**[第 0 部分](https://www.decipherclub.com/why-learn-hard-solidity-things-abi-encoding-series-part-0/)** 和 **[第 1 部分](https://www.decipherclub.com/solidity-abi-encoding-part-1/)**（需要免费订阅），Zaryab Afser 撰写。

- **[从 Rust 代码到 SBF 字节码的 Solana 程序执行幕后](https://learnblockchain.cn/article/16821)**，Farouk Elalem 撰写。

- **[在编写 Uniswap v4 Hook 之前要问的 6 个问题](https://learnblockchain.cn/article/16807)**，Xaler & Bartosz Wodziński (OpenZeppelin) 撰写。

- **[在分片区块链上对抗重入漏洞](https://arxiv.org/abs/2506.05932)**。

- **[通过模糊实现不安全：封闭源代码合约中的隐蔽漏洞](https://arxiv.org/abs/2504.13398)**。

- **[揭露 NFT 智能合约中的隐藏后门：Rug Pull 模式的静态安全分析](https://arxiv.org/abs/2506.07974)**。

- **[智能合约中 AI 驱动的漏洞分析：趋势、挑战和未来方向](https://arxiv.org/abs/2506.06735)**。

- **[First-Spammed, First-Served: 快速终结区块链上的 MEV 提取](https://arxiv.org/abs/2506.01462)**。

- **[MARTSIA：一种通过公共区块链进行机密数据交换的工具](https://arxiv.org/abs/2407.10684)**。

### 工具

- **[Foundry MCP 服务器](https://github.com/PraneshASP/foundry-mcp-server)**，PraneshASP 撰写。示例运行**[此处](https://x.com/0xasp_/status/1911812727204614527)**。

* * *

>- 原文链接： [newsletter.blockthreat.i...](https://newsletter.blockthreat.io/p/blockthreat-week-24-2025)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～