BlockThreat - 2025年第22周

Cork 协议 | Malda | Dexodus | 绑架案

Peter Kacherginsky

2025年6月4日

∙ 已付费

你好！

本周发生了六起事件，损失超过 1200 万美元。其中最大的损失来自 Cork 协议的利用，该利用包含了一个至少涉及三种知名漏洞类别的攻击链，包括不充分的功能访问控制和奖励操纵。其余事件也遵循了类似的模式，即更多的访问控制失败和价格预言机操纵。

越来越明显的是，相同的攻击手段在不断重现。这些不是新的漏洞。我们现在应该了解它们了！因此，本周我将退一步，重点介绍前 10 个反复出现的攻击手段。理解这些趋势对于最终打破重复犯同样错误的循环至关重要。

被盗的私钥仍然占据榜首。解决这些操作安全故障需要比传统的代码审计更多的方法。不幸的是，一种整体的方法——包括对链上和链下组件（如终端安全、云基础设施和密钥管理）的分析——仍然远未成为标准实践。

然而，更令人担忧的是一个致命三合会的崛起：奖励操纵、价格预言机操纵 和 不充分的功能访问控制。这三个攻击类别出现在大多数高影响事件中，包括本周的 1200 万美元 Cork 协议漏洞利用。

值得注意的是，在过去一年相对下降之后，奖励操纵 已经重新回到了第三名的位置。该手段针对有缺陷的激励机制，允许攻击者提取协议奖励，例如费用、收益或排放，而无需提供相应的经济价值或承担真正的风险。

为了帮助捕获此类漏洞，请考虑采用以下审计/代码审查实践，并研究相应的案例研究。

• 验证奖励是否与经济贡献或风险成比例（参见 Abracadabra 事件 - 1300 万美元）。

• 模拟各种极端情况下的会计逻辑行为（参见 Euler Hack - 1.97 亿美元）。

• 追踪每个奖励路径，并确保它不能被操纵（参见 Pickle Finance - 1970 万美元）。

与往年一样，总会有一个突出的黑客攻击事件，重振我们认为已经基本消失的攻击手段。在 2025 年，Sui 上的 Cetus 迫使业界重新审视经典的 integer overflow（整数溢出）——一个我们已经很久没有看到占据主导地位的漏洞类别。

前 10 名攻击手段的其余部分与往年基本一致，但有一个值得注意的例外：供应链攻击 的出现。这种 Web2 风格的操作安全手段突出了我们在构建和部署管道中日益增长的风险。因此，请在攻击者抢先之前锁定你的存储库，审计你的 CI/CD 工作流程，并清理你的依赖项。

区块链安全需要不断警惕新兴威胁，同时优先处理要解决的最关键风险。我希望你能使用上面的列表来构建一个更安全、更具弹性的生态系统。

喜欢阅读 BlockThreat 吗？考虑赞助下一期 或 成为付费订阅者 以解锁高级版块，其中包含关于黑客攻击、漏洞、指标、特别报告和可搜索的 Newsletter 存档的详细信息。

让我们深入了解新闻！

新闻

• FreeRomanStorm 运动 需要捐款来支持即将到来的审判！

• 4 亿美元 Coinbase 数据泄露事件内幕：印度呼叫中心和青少年黑客。更多关于 TaskUs 呼叫中心和攻击背后的威胁行为者的细节被披露。根据最近的文件 此次数据泄露可以追溯到 2024 年 12 月 26 日，但直到 2024 年 5 月 11 日才被发现。

• Coinbase 因与数据泄露披露相关的股价下跌而被集体诉讼，指控其披露存在“遗漏”。

• 银行集团敦促 SEC 撤销拜登时代的网络安全规则。

• 有人在 deUSD 清算中损失超过 50 万美元，引发了对 Chainlink 的 VWAP 定价系统的担忧。关于使用 Chainlink 预言机 和 低流动性代币 展开了一些辩论。现在是查看 Cyfrin 出色的 Chainlink 基础知识 课程的时候了。

• Solana 的 Raj Gokal 在 40 BTC 的敲诈勒索失败后通过 Migos 的 Instagram 帐户泄露个人信息。

• Julia Garner 和 Anthony Boyle 将在 新的迷你剧 The Altruists 中扮演 Caroline Ellison 和 Sam Bankman-Fried。

犯罪

• 法国指控 25 名加密货币绑架案嫌疑人。希望这标志着最近在法国发生的一系列绑架事件的结束。

• 纽约比特币投资者高调绑架案中逮捕了第三人。

• 追踪被盗加密货币：乌干达警方逮捕了区块链教育家绑架案的嫌疑人。

• 俄罗斯国民因涉嫌加密货币抢劫罪在韩国被捕。

• 加密货币上涨，绑架事件增加？——剖析 2022 年至 2025 年的案例。

• BitMEX 挫败了所谓的 Lazarus 攻击，发现了该组织的 IP 地址和安全方面的“重大失误”。

• 朝鲜可能在军舰惨败后几天就让 Lazarus 开始工作。

• FBI 警告菲律宾科技公司运行庞大的加密货币诈骗活动。

• 国际刑警组织的目标“Madam Ngo”因涉及 3 亿美元的加密货币诈骗案而被捕。

网络钓鱼

• 用于管理 2023 年 10 月至 2025 年 4 月期间与加密货币投资欺诈诈骗相关的域的基础设施，由 FBI 发布。

• 不是你的种子 = 不是你的密钥，一种新的持续攻击，你可能会失去一切，由 Opsek 发布。

• Wintermute 的“CrimeEnjoyor”标记以太坊的钱包耗尽合约。

• 顶级 7702 委托人被揭露为网络钓鱼诈骗，由 GoPlus Security 发布。

• Dark Partner 黑客使用虚假 AI、VPN 和加密货币网站攻击 macOS 和 Windows 用户。

诈骗

• MEXC 交易所检测到第一季度欺诈活动激增 200%。

• Latam Insights：Milei 解散 Libra 的调查，哥伦比亚 CBDC 走出隐身状态。

• 长篇阅读：John Karony 如何从有远见的人变成被定罪的诈骗犯。

• Bubblemaps 推出“时间旅行”工具，用于内幕活动和 rug pulls。

恶意软件

• 披着羊皮的狼：Osiris 恶意浏览器扩展分析，由 SlowMist 发布。

• Dark Partners 网络犯罪团伙助长了大规模加密货币抢劫案。

• VenomRAT 恶意软件活动内幕，由 DomainTools 发布。

• PumaBot：针对物联网监控设备的新型僵尸网络，由 Darktrace 发布。

• 黑客利用 Craft CMS 漏洞注入加密货币矿工恶意软件。

• 新的自我传播恶意软件感染 Docker 容器以挖掘 Dero 加密货币。

媒体

• bountyhunt3rz - 第 15 集 - milotruck。

• Ross Ulbricht 在 Bitcoin 2025 上的演讲。Ross 在演讲后不久收到了 3140 万美元的捐款。

竞赛

• RethMatch - 一场链上机器人竞赛，灵感来自 Pac-Man 和 Agar.io。

研究

• 强制执行交易模拟完整性：Pectra 版本，由 Bitfinding 发布。

• 被错过的 Bug - 如何通过模糊测试前提条件来发现高危漏洞，由 Nican0r (Recon) 发布

• Riverguard：用于查找漏洞的 Mutation Rules，由 Sebastian 和 Thomas (Neodyme) 发布。

• 托管稳定币 Rekt 测试，由 Benjamin Samuels (Trail of Bits) 发布。

• 企业加密货币 OpSec：公司综合指南，由 Three Sigma 发布。

• Solana 程序安全进阶指南，由 Accelerated Curve 发布。

• 深入了解 Axiom 的 Halo2 电路，由 Filipe Casal、Jim Miller、Fredrik Dahlgren、Joe Doyle、Tjaden Hess、Marc Ilunga (Trail of Bits) 发布。

• 超越智能合约：深入探讨区块链基础设施安全审计，由 Smriti Verma (OpenZeppelin) 发布。

• SEAL 的安全框架 - ENS 最佳实践，由 Ghadi Mhawej (JustaLab) 发布

• Awesome Audits Checklist，由 ABDul Rehman (TheTradMod) 发布。

• LLM-BSCVM：一种基于 LLM 的区块链智能合约漏洞管理框架。

• 揭示 Go 的隐藏 Bug：一种新颖的 Concolic 框架。

• MoveEVM 智能合约中漏洞的系统分类 (MWC)。

• MEV 的理论基础。

工具

• Sui Trace - 使用我们先进的网络图可视化代币传输模式并跟踪区块链交易。

• • *

喜欢阅读 BlockThreat 吗？考虑赞助下一期 或 成为付费订阅者 以解锁高级版块，其中包含关于黑客攻击、漏洞、指标、特别报告和可搜索的 Newsletter 存档的详细信息。

高级内容

这篇文章是为付费订阅者准备的

订阅

已经是付费订阅者？登录

• 原文链接： newsletter.blockthreat.i...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～