本周加密货币领域损失约9140万美元,主要是一起网络钓鱼攻击导致。EIP-1967代理劫持事件频发,提醒开发者注意合约初始化原子性。Lazarus组织入侵Woo X,盗取1400万美元。新的iOS 0day漏洞被利用。此外,还涉及域名劫持、零日漏洞、密码管理器漏洞、加密犯罪报告、政府追回被盗资金、以及针对Dogecoin的攻击等。
本周发生了 12 起事件,约有 9140 万美元被盗,其中大部分损失源于针对一名用户的网络钓鱼攻击,该用户成为冒充交易所和钱包支持的受害者。希望这些不法分子能像一年前尝试过类似策略的前辈们一样,遭受 同样的命运。
与此同时,看起来有人从最近的 EIP-1967 代理劫持狂潮 中吸取了教训,现在正在积极劫持Base 上的合约。再次提醒,始终在与创建相同的事务中以原子方式初始化合约。
Woo X 发布了关于 7 月 24 日事件的详细事后分析报告,详细说明了 Lazarus 如何入侵开发人员的机器并在环境中横向移动,然后从九个用户帐户中盗取了 1400 万美元。这是一个用于构建更强大的威胁模型和防御的有用案例研究。
说到威胁模型,一个新的 iOS 0day 正在被积极利用来攻击特定用户。再加上最近发布的 2000 万美元的零点击移动漏洞赏金,如果你依赖托管钱包基础设施,则应密切关注这一点。即使一两个签名者受到威胁,你还可以添加哪些额外的防御层来确保你晚上睡个好觉?
让我们深入了解新闻!
秘密后门:SEAL 发布关于域名劫持的公告。请不要通过使用易于劫持的“折扣”注册商泄露 你的 用户。
新型零日漏洞公司提供 2000 万美元,用于黑客攻击任何智能手机的工具.**。在你的威胁模型中考虑列出的价格。攻击者会花费 2000 万美元来访问你的多重签名者的手机或笔记本电脑吗?
Apple 修复了 iOS、iPadOS 和 macOS 中 CVE-2025-43300 零日漏洞,该漏洞在有针对性的攻击中被利用.**。该漏洞利用无需用户交互,只需将特制的图像发送到易受攻击的设备即可触发。
Blockscope Research 的2025 年中期加密犯罪报告。
美国政府钱包在 DeFi 黑客攻击扣押后从 Coinbase 添加了 332,000 美元的以太币。资金与 2021 年 Uranium Finance 的大规模 5700 万美元损失 有关。
Qubic 社区,Monero 的 51% 攻击者,投票决定接下来攻击狗狗币.**。由于狗狗币受益于 莱特币的合并挖矿,因此后者也将成为目标,因此这将非常棘手。
万亿美元安全 - 第二阶段。以太坊基金会为保护生态系统而做出的努力的下一阶段,从 UX 和钱包相关的威胁开始。其中一项努力是 Walletbeat,一个钱包安全评级目录。
加密安全公司 Kerberus 收购了 Pocket Universe,这是一款适用于以太坊和 Solana 钱包的反欺诈浏览器扩展。
Saber 和 cyb0rg 在 Phrack 72 中发布的 APT Down - The North Korea Files。又一次泄露,并深入研究了朝鲜威胁参与者的一个工具箱,包括对后门、rootkit、访问等的分析。
非洲当局捣毁了大规模网络犯罪和欺诈网络,追回数百万美元.**。“塞伦盖蒂动物大迁徙 2.0 行动”针对包括非法加密货币挖掘中心在内的其他犯罪企业。
司法部宣布查获超过 280 万美元的加密货币、现金和其他资产。此次查获来自 Zeppelin 勒索软件的运营商,他试图通过 最近查获的 ChipMixer 洗钱。
Chainalysis 的 立法制裁规避:Garantex 品牌重塑、Grinex 和卢布支持的代币 A7A5 如何塑造俄罗斯的影子加密经济。
2025 年 8 月 19 日,一名受害者遭遇社会工程诈骗,在交易所和硬件钱包客户支持被冒充后损失了 783 BTC(9100 万美元)。
Scam Sniffer 称 有人因签署 EIP-7702 网络钓鱼批量交易而损失了约 154 万美元。
Web3 Antivirus 使用静默批准从两个钱包中窃取了 58.2 万美元。
Rekt 的隐形提示。虚假扩展、提示注入、供应链妥协以及勇敢的人工智能世界中的其他风险。
vx-underground 报告一个恶意 VSCode Cursor AI 扩展活动 针对加密货币持有者。
SlowMist 的威胁情报:Clickfix 网络钓鱼攻击。
Conor (Coinbase) 称 至少 94% 的新 Kanye 代币由内部人士拥有 - 87% 的新 Kanye 代币由单个多重签名持有(现在分散到多个钱包)。
Molly White (Citation Needed) 的 在 Justin Sun 建立美国权力之际,他努力控制自己的故事。
Abhishek Mathew (CloudSEK) 的 机器中的幽灵:关于 TA-NATALSTATUS 和加密劫持地盘战的完整档案。
DNSFilter Research 发现 不良行为者使用虚假 CAPTCHA 进行恶意软件尝试。
Paul McCarty (Safety) 的 Infostealer 瞄准俄罗斯加密开发人员。
为什么 Safe (Gnosis Safe) 初始化在初始化代理Token合约时会发出两个具有不同实现地址的 Upgraded() 事件.**。现在发生在 Base 上的又一个 代理劫持活动 的故事。
Trash Pirate 的 EVM 如何调度智能合约函数?。
Toon Van Hove (Sigma Prime) 的 Pectra 对智能合约安全的影响。
Kikimora Morozova, Suha Sabi Hussain (Trail of Bits) 的 将图像缩放武器化以对抗生产 AI 系统。虽然不是严格的 web3,但仍然很有趣。
解决加密货币 Lazarus 问题的方案可能比预期的要简单。具有时间锁的 Guardian 节点允许优秀的参与者在恶意提案执行之前取消它。
Bryce 和 Philip (Zellic) 的 你可能错误地使用了 WebViews:移动开发人员常见的安全陷阱。
CertiK 的 Move for Solidity Developers IV:跨合约调用。
Bahador Gh 的 紧急 EIP-7702 钱包恢复。
Gustavo Grieco 的 Echidna 进入符号执行的新时代。
Wake Framework (Ackee) 的 开源 Wake AI:用于 AI 驱动的安全分析的第一个结构化框架。
- 原文链接: newsletter.blockthreat.i...
- 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!