BlockThreat - 2025年第32周

Tornado Cash 仍然是监管斗争的中心，开发者和研究人员面临着日益增长的跨境法律风险。Roman Storm 被判犯有未经许可的资金传输罪，这项指控与最近的联邦先例直接冲突，该先例确认非托管 DeFi 开发者不应被视为货币传输者。与此同时，土耳其几乎重演了 Tigran Gambaryan 剧本，拘留了 Federico Carrone，幸亏迅速的国际压力才化解了这一事件。总而言之，这些案例突显了任何在加密隐私领域工作的人所面临的不断升级的法律风险。

谷歌刚刚发布了一份详细的报告，内容是朝鲜民主主义人民共和国（DPRK）的威胁行为者用于入侵加密货币项目后端基础设施的策略，包括 Safe Wallet 的妥协。一些高层次的 TTPs：

• 初始攻击媒介是社会工程，用于执行恶意 Docker 容器。

• 社会工程通过 Telegram 和 LinkedIn（职位邀请）进行。

• 安装凭证窃取恶意软件。

• 通过管理员访问权限和被盗的 cookie 绕过云多因素身份验证（MFA）。

• 注入恶意 JS 来破坏仲裁中的密钥签名。

两个案例研究中失败的关键技术控制：

• 端点检测失败。

• 不安全的云凭证。

• 代码审查和 CI/CD 流水线的不安全流程。

现在是时候培训人员识别最新的社会工程策略，并在这些漏洞被利用之前加强基础设施。

说到用户安全，请务必查看本周的赞助商 Coinspect。

Coinspect 的钱包安全排名是对领先的加密货币钱包的客观、透明和定期更新的评估。它侧重于关键的安全功能，如反网络钓鱼防御、交易清晰度和防止盲签名的保护，帮助用户选择优先考虑其安全的钱包。

链接：https://www.coinspect.com/wallets/

竞赛

• Wintermute Alpha Challenge 2025. 挑战你分析 DeFi 漏洞、链上执行和市场的能力。

新闻

• Roman Storm 被判犯有未经许可的资金传输阴谋罪。

• 开发者因 Tornado Cash 研究被捕。Federico Carrone 在 24 小时后获释，此前来自阿联酋、英国、美国以及整个欧盟、阿根廷和天主教会的压倒性的国际干预。一个好的结局，否则可能演变成Tigran Gambaryan 式的事件。

• AIxCC 总决赛：磁带的故事。讨论了 DARPA 的 AI 网络挑战赛中用于 AI 自动错误查找和修补的各种方法。

• Coinbase Base 网络因“不安全的头部延迟”暂停 44 分钟。

• 破解金库：我们如何在 HashiCorp Vault 的身份验证、身份识别和授权中发现零日漏洞，作者：Yarden Porat (Cyata)。

• 云威胁视野报告，作者：Google Cloud Security，其中有一个有趣的部分 朝鲜的社会工程导致云妥协和加密货币盗窃。它详细介绍了朝鲜民主主义人民共和国（DPRK）的威胁行为者 UNC4899 (TraderTraitor) 使用的 TTPs，他们通过社会工程入侵了加密项目的基础设施，如 Safe/Bybit、DMM Bitcoin 等。

• Cursor 远程代码执行漏洞 (CVE-2025-54135)。

• Coinbase 的 Base 网络在暂时停止后恢复正常区块生产。

犯罪

• FT3：欺诈工具、战术和技术框架，作者：Stripe。一个 ATT&CK 风格的安全框架，专门用于增强对欺诈活动中行为者使用的战术、技术和程序 (TTPs) 的理解。

• 朝鲜 IT 工作者如何利用人工智能和脆弱的美国人渗透美国公司。

• 泄露揭示朝鲜 IT 诈骗者的日常工作，作者：Matt Burgess (Wired)。

• 这个人使用了类似 Coinbase 的 URL——现在他面临着一场重大的诉讼。

• Meta 移除 680 万个与杀猪盘诈骗团伙相关的 WhatsApp 账户。

• WNBA 性玩具事件由加密 Meme 币团体发起。

政策

• 加密政策的六个月：好的、坏的和挥之不去的问题，作者：Peter Van Valkenburgh (Coin Center)。

• SEC-Ripple 强制执行案件在撤销上诉动议后结束。

网络钓鱼

• MetaMask 安全报告：2025 年 7 月，作者：Luker (Metamask)。

• 关于来自 juan-blanco 的恶意 VSCode 扩展的报告，该扩展旨在从 C2 服务器加载额外的有效载荷。

• 威胁情报：揭露 Web3 面试诈骗，作者：Joker & Ccj (SlowMist)。

• 朝鲜黑客正在使用虚假工作邀请来入侵云系统，窃取数十亿美元的加密货币。

• 地址 0x2d98...6695 已成为网络钓鱼攻击的受害者，导致损失 305 万美元的 $USDT，作者：Peckshield。

• 一个 EIP-7702 升级的地址因网络钓鱼损失了 6.6 万美元，该网络钓鱼使用伪装成 Uniswap 交换的批量转账，作者：Scam Sniffer。

• Aave 用户在达到 600 亿美元里程碑后成为 Google Ads 网络钓鱼诈骗的目标。

• 15,000 个虚假的 TikTok 商店域通过 AI 驱动的诈骗活动传递恶意软件，窃取加密货币。

诈骗

• Abracadabra，作者：Rekt。讲述了 Abra Global 的故事，许多国际客户被锁定。

• CrediX Finance 面临 450 万美元的漏洞利用（退出诈骗分析），作者：QuillAudits。

• Solana Labs 和 Jito Labs 收到了 Pump Fun 的诉讼。

恶意软件

• GreedyBear：650 种攻击工具，一次协调的活动，作者：Koi Security。该报告揭示了一项大规模活动，涉及 150 个武器化的 Firefox 扩展，窃取了 100 万美元的加密货币资产。

• 智能合约诈骗 - 以太坊 Drainer 伪装成交易机器人来窃取加密货币，作者：Sentinel One。根据该报告，超过 90 万美元被盗。

• 诈骗者大规模邮寄 Efimer 木马以窃取加密货币，作者：Artem Ushkov (Kaspersky)。

• 威胁行为者使用人工智能创建一个更好的加密钱包 drainer，作者：Paul McCarty (Safety)。深入研究一个恶意 npm 包，该包被加载了 1500 次。

• GitLab 通过 PyPI 发现了 Bittensor 盗窃活动，作者：Gitlab。

• 60 个恶意 Ruby Gems 用于有针对性的凭证盗窃活动，作者：Kirill Boychenko (Socket)。

媒体

• Roman Storm 被判有罪：资金转移定罪意味着什么？，作者：Rage。

• 与 QuillAudits 在 X 上直播：解码 2025 年最大的 web3 黑客攻击 - 经验教训和趋势，作者：Guardrail。

• bountyhunt3rz - 第 22 集 - mackenzie。

• Rektoff - 软件安全的符号执行：实用指南，作者：publicqi。

• Rektoff - 高级 Solana 漏洞，作者：r0bre。

• Rektoff - 模糊测试 Solana 程序，作者：Trident (by Ackee)。

• Rektoff - Solana 安全审计：该做什么和不该做什么，作者：David (Oshield)。

• Zokyo - 差异测试研讨会，作者：Mahmoud Fathy。

• Zokyo - Oracle 安全研讨会，作者：Jose Zokyo。

• The Network Podcast - 在学习审计时使用 AI，作者：Josselin Feist。

• 保护你的 ZK 代码：开发者和审计师的最佳实践，作者：rxyz。

• ERC-4626 金库和通货膨胀攻击向量，作者：Akshay (QuillAudits)。

• COSCUP 2025 幻灯片，由 DeFiHackLabs 主办，涵盖 Unphishable、在智能合约审计中使用 AI 以及各种 ERC 标准。

研究

• Web3 终极安全清单，作者：Digibastion。一份全面的清单，包括个人、开发运维、移动、浏览器和其他安全主题。

• 臭名昭著的 Bug 摘要 #4：通缩代币风险、ERC4626 覆盖差距和 Rust 移位溢出，作者：Ionut-Viorel Gingu & Jainil Vora (OpenZeppelin)。

• AI 审计基准：入门，作者：Antonio Viggiano。

• TON 中安全合约开发：Tact 和 FunC 中的 9 大陷阱，作者：Paul (Cantina)。

• 用 Rust 编写验证友好的智能合约，作者：Chandrakana Nandi (Certora)。

• ERC721 的 _safeMint 可以被利用来绕过供应限制并耗尽 NFT 系列，作者：Wake Framework。

• 真正的最小代理 - 由 EIP-7702 提供支持，作者：ChainSecurity。

• 了解自动做市商以进行漏洞赏金，作者：Thomas EDET。

• ZK 数学 101：环和域，作者：Ciara Nightingale (Cyfrin)。

• Prompt to Pwn：智能合约的自动漏洞利用生成。

• NATLM：利用 LLM 检测 NFT 智能合约中的缺陷。

• MultiCFV：利用多模态深度学习检测智能合约中的控制流漏洞。

• UEChecker：通过图分析检测 DApp 中未检查的外部调用漏洞。

• 衡量 CEX-DEX 提取价值和搜索者盈利能力：MEV 黑暗森林中最黑暗的部分。

• 慢就是快！剖析以太坊的慢流动性耗尽诈骗。

• 4-Swap：使用四笔事务实现无悲伤和贿赂安全的原子交换。

• AI 代理智能合约漏洞利用生成。

• Phantom Events：揭秘区块链中日志伪造的问题

• 攻击者的 Prompt 注入工程：利用 GitHub Copilot，作者：Kevin Higgs (Trail of Bits)。

工具

• 介绍 sol-azy：Solana 程序静态分析和逆向工程的 CLI 工具包，作者：Fuzzing Labs。

• Solana 分析器，作者：Scab24。一个强大的 Solana 智能合约静态分析工具，用 Rust 编写。检测 Solana/Anchor 项目中的漏洞、安全问题和代码质量问题。

• Buttercup 现在是开源的！，作者：Trail of Bits。

• pbctf23-move-vm，作者：publicql。Move 字节码符号执行引擎。

• Token Risks API，作者：Hexens。使用 Glider 自动识别相关属性，例如传输函数中的外部调用、余额操纵等。

• FACADE 使用对比学习的高精度内部威胁检测。

• ChromeAlone - 一个浏览器 C2 框架，作者：Praetorian。

• BonkFun 迁移狙击手，作者：FuzzLand。

• 原文链接： newsletter.blockthreat.i...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～