BlockThreat - 2025年第37周

SwissBorg, Kiln, NPM, Yala, ThorSwap, Evoq, Request, Shibarium, Kame, Degen

这周是一场血洗。在九起事件中，超过 5750 万美元被盗，涉及违规的托管质押提供商、被黑的 前端、后门供应链、个人网络钓鱼、链重组、桥被利用以及大量 DeFi 协议被耗尽。我们生态系统的所有元素都在今年最糟糕的一周中受到了打击。

但特别是一次利用，如果不是社区的早期发现，可能会造成数十亿美元的损失。一次 NPM 供应链攻击，危及了几个非常受欢迎的软件包（每周数十亿次的下载），允许攻击者注入一个后门，旨在耗尽用户的钱包。凭借纯粹的运气和大量的 链上嘲讽，攻击被足够早地发现，社区动员起来，这使得攻击者从原本很容易成为 Safe/Bybit 规模的漏洞中获得了不到 1000 美元的利润。最大的教训是他们会回来的。所以请在你的开发流程中实施适当的包冻结和审查。

说到近乎灾难，高达 4150 万美元的 Kiln/SwissBorg 漏洞是对信任第三方管理金库或质押提供商的风险的严峻提醒。一般来说，让专业团队管理资产是明智的；但是，这并不能免除谨慎监控和深入讨论可以添加哪些安全控制措施以最大限度地降低风险的责任。自事件发生以来，Kiln 发起了一项退出 所有 以太坊验证器的行动。

本周另一个有趣的漏洞是 Yala LayerZero OFT 桥劫持，它利用了一个使用已知“本地密钥”的临时部署。攻击者争先恐后地将最近部署在 Solana 上的桥配置到 Polygon 上的恶意 OFT 合约，并开始铸造合法的 $YU 代币。

最后但并非最不重要的是，大规模桥梁漏洞再次发生，Shibarium 桥被黑了 300 万美元。一个积极的结果是，攻击者的大部分资金被列入黑名单或锁定。但是，你如何危及 12 个签名密钥中的 10 个（！）除非它们存储在同一个地方并以相同的方式管理，从而失去了全部意义？

关于新闻通讯的重要更新。我将调整付费订阅费率，以更好地支持对每期进行的不间断研究和投入的时间。从下个月开始，高级套餐将提高到每月 99 美元或每年 999 美元。我非常感谢赞助商和付费订阅者，他们使该新闻通讯能够运行这么多年。

让我们深入了解新闻！

新闻

• 伟大的 npm 抢劫案 作者：Rekt。深入研究了一个 大规模 供应链攻击，幸运的是它 几乎没有造成任何损失 并且充满了 嘲讽。

• DuckDB npm 账户在持续的供应链攻击中遭到入侵 作者：Peter van der Zee Sarah Gooding (Socket)。

• XMR 经历了 18 个区块的重组.

犯罪

• 印度呼叫中心诈骗者与中国洗钱者合作 作者：Gary Warner。

• 加利福尼亚男子因洗钱价值 3700 万美元的被盗加密货币而被判处四年以上徒刑.

• 美国财政部制裁东南亚 19 个实体，以打击 100 亿美元的网络诈骗.

• 在 BreachForums 上发布告别信后，分散的 Lapsus$ 猎手提供了访问 FBI NICS（背景调查）和 Google LERS（执法请求系统）的证据

政策

• 美国政府将把《爱国者法案》引入数字资产.

• Burwick Law 现在可以通过 X 送达 Pump Fun 诉讼. 这是对 Solana 的 Yakovenko 显然躲避了 9 次送达他针对 Pump Fun 和那些促成它的人 的诉讼的回应。

网络钓鱼

• THORSwap 发布了与 THORChain 创始人钱包超过 100 万美元漏洞相关的赏金. 正如 ZachXBT 指出的那样，具有讽刺意味的是，朝鲜正在攻击他们正在使用的洗钱组织。

• 2025 年的 Lazarus Group 攻击：SOC 团队需要了解的一切 作者：Any.Run。

• [有人因签署 EIP-7702 网络钓鱼 批量交易而损失了约 154 万美元](https://x.com/realScamSniffer/status/1959423000752820374) 作者：Scam Sniffer。

• Nick Bax 关于不良行为者在 [虚假会议/播客 网络钓鱼 活动](https://x.com/bax1337/status/1966539465620435073) 中使用 Microsoft Teams 的报告。

• [你没有被 网络钓鱼 — 你让攻击者加入了](https://thehackernews.com/2025/09/you-didnt-get-phished-you-onboarded.html).

诈骗

• [实习生 Polymarket 决定使用官方 Polymarket 账户在 迷因币 上赚钱](https://x.com/Atlantislq/status/1967157559531384960).

• Aqua 诈骗警报：“Rug Pull”正变得越来越复杂.

• RWA 指标中的问题 作者：0xngmi。

恶意软件

• 远离你的 Docker：暴露的 API 成为新型恶意软件的目标 作者：Yonatan Gilvarg (Akamai)。加密矿工恶意软件的最新版本。

• AsyncRAT 在行动：一种远程访问木马的无文件恶意软件技术和分析 作者：Sean Shirley (LevelBlue)。深入研究一种恶心的加密货币和凭证窃取器。

• 新型 ModStealer 恶意软件使用虚假的招聘广告来寻找加密货币钱包，逃避杀毒软件检测.

媒体

• 与 Anto Joseph 的 Web3 安全播客 由 Jack Sanford (Sherlock) 主持。

• 朝鲜是如何实施世界上最大的抢劫案的 作者：7 News Spotlight。

研究

• 如何在供应链攻击中生存 作者：Caue Obici (OtterSec)。

• Sui Move 如何重新思考闪电贷安全性 作者：Nicolas Donboly (Trail of Bits)。

• 安全的 StableSwap-NG 部署：如何避免来自波动预言机的风险 作者：Viktor Yurov, Dmitry Zakharov (MixBytes)。

• 保护 Cosmos 应用链：ABCI、确定性和 IBC 完整性的信任对齐指南 作者：Paul (Cantina)。

• 逐步审计：第 1 部分 作者：phil。

• 事件事后分析：Reth 主网状态根不匹配.

• 当一种新资产被接受为抵押品时，如何耗尽整个借贷协议 作者：Kankodu

• 星际文件系统中的网络级审查攻击.

• 通过模糊性实现的不安全：闭源合约中隐藏的漏洞.

• XChainWatcher：监控和识别跨链桥中的攻击.

• SEASONED：通过系统文献审查漏洞，对智能合约真实世界攻击中 10 亿美元损失的语义增强型自反事实可解释检测对抗性利用者合约.

• 权限被拒绝 - 一个 EIP 犯罪的故事.

• SoK：通过对漏洞的系统文献回顾，智能合约真实世界攻击中 10 亿美元损失的根本原因.

• 用于 Rollup 的安全排序器和数据可用性委员会（扩展版本）.

• 我知道谁克隆了你的代码：可解释的智能合约相似性检测.

工具

• pcaversaccio 的 safe-tx-hashes-util 现在支持在审查 Safe 多重签名 交易时进行 交易模拟。

• Alexey Posikera 的 SuiSource MCP 服务器。一种模型上下文协议 (MCP) 服务器，可用于获取有关 Sui 项目及其包的信息，以及下载包字节码并使用 Revela 反编译器对其进行反编译。

• 原文链接： newsletter.blockthreat.i...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～