BlockThreat - 2025年第39周

UXLINK | Griffin AI | Hyperdrive | Linea | Seedify | Ideal Protocol | dTrinity | Cool

在经历了上周相对平静之后，这周感觉像是一盆冷水泼了下来。超过 5100 万美元在 10 起事件中被盗，其中许多事件完全可以通过项目方更加关注威胁行为者不断利用的已知攻击向量来避免。

本周最严重的事件是 UXLINK 的多签劫持，攻击者在控制了多个链上的项目合约后，窃取了高达 4440 万美元的巨额资金。该多签配置了一个 2/x 的阈值，但缺乏基本的安全措施，如守护者、时间锁或任何类型的治理审查流程。9 月 22 日，攻击者利用这种薄弱的设置，将自己重新分配为所有者，阈值为 1，并开始掠夺该协议。

具有讽刺意味的是，攻击者自己后来也成为了 Inferno Drainer 攻击的受害者，损失了 5.42 亿新盗取的 UXLINK。真可谓是盗亦有道。

从这次攻击事件中可以吸取一些重要的教训：

• 避免使用过低的阈值。 2/x 的设置太低了。对于任何超过几十万美元的项目，请将阈值提高到至少 5/x。

• 添加时间锁。 没有理由允许立即升级或更改多签上的参数。一个多天的时间锁提供了一个关键的缓冲，可以检测和阻止恶意活动。

• 使用守护者。 即使所有核心开发者都被攻破，并且即将执行恶意交易，守护者也可以作为最后一道防线。

说到可以预防的黑客攻击，Griffin AI 又一次成为了 LayerZero OFT 劫持的受害者。如果这听起来很耳熟，那是因为就在两周前，Yala 也遭遇了完全相同的命运，当时一个临时的桥接部署配置了一个恶意的 token。

仅仅因为_你_没有关注活跃的攻击向量，并不意味着攻击者也没有关注。他们绝对在关注，并且会重复使用相同的技术，直到项目方最终关闭大门。所以，请务必锁定你的 OFT，不要把印钞的钥匙交给攻击者。

本时事通讯的付费部分包含详细的报告和指标，涵盖了本周剩余的 10 起黑客攻击事件，包括 UXLINK、Griffin AI、Hyperdrive、Linea、Seedify、Ideal Protocol、dTrinity、Cool 等。

在所有这些黑客攻击事件中，值得强调的是本周版本的无名英雄和赞助商 - ChainPatrol。ChainPatrol 的员工们正在做着非常了不起的工作，他们保护协议的品牌，打击 X 上的网络钓鱼攻击，并在诈骗者造成实际损害之前迅速将其击垮。

喜欢阅读 BlockThreat 吗？考虑赞助下一期或者成为付费订阅者，以解锁高级部分，其中包含有关黑客攻击、漏洞、指标、特别报告和可搜索的时事通讯档案的详细信息。

关于时事通讯的重要更新。我将调整付费订阅价格，以便更好地支持持续的研究和每期投入的时间。从下个月开始，高级订阅将增加到每月 99 美元或每年 999 美元。我非常感谢赞助商和付费订阅者，是他们让这本时事通讯能够持续运行这么多年。

让我们深入了解一下新闻！

新闻

• Circle 很少冻结被盗资金，但希望交易可逆。

犯罪

• 泰国警方破获针对数百名韩国人的 1500 万美元加密货币诈骗团伙 - Decrypt。

• 欧洲检察官协调行动，制止欧洲各地超过 1 亿欧元的加密货币欺诈。

• 得州发生持械绑架案，800 万美元加密货币被盗；嫌疑人被捕。

政策

• 加密货币交易所 KuCoin 在加拿大因反洗钱违规行为被处以创纪录的罚款。

钓鱼

• UXLINK 利用者的地址似乎已将恶意的 `increaseAllowance` 授权签署给了一个钓鱼合约，作者：Scam Sniffer。

• X/Twitter 似乎在过去 24 小时内的某个时间点遭到入侵，作者：Dark Web Informer。

• Zak.eth 报告通过虚假的 a16z DM 和 Google 日历欺骗窃取 X 账户的钓鱼活动。

• 欺骗性开发：从原始的加密货币盗窃到复杂的基于 AI 的欺骗，作者：Eset。其中一个更有趣的揭露是虚假招聘人员和朝鲜 IT 工作人员之间的密切合作，他们分享通过对合法开发者进行面试收集的情报。

• GitHub 通知被滥用，冒充 Y Combinator 进行加密货币盗窃。

• 新的高级 X 账户接管攻击针对加密货币社区。

诈骗

• 抛物线幻影，作者：Rekt。MYX Finance 的女巫攻击和市场操纵。

• DeFi 协议 Hypervault 在涉嫌 360 万美元的 rugpull 后消失。

恶意软件

• 两个恶意的 Rust Crates 冒充流行的 Logger 来窃取钱包密钥，作者：Kirill Boychenko (Socket)。大规模供应链攻击持续不断。你是否已经固定了你的依赖项？

媒体

• DSS 网络研讨会 - 万亿美元安全，嘉宾：Rajeev、Uri、Fredrik 和 Mehdi。

• Web3 安全播客 - Validator sniping：如何获取 IP 地址以重定向 MEV | Sebastian Bürgel (Gnosis)。

• Scamurai - Ep. #5 社交工程、AI 和加密货币安全，嘉宾：Stefan Beyer。

• SEC-T 0x11：Simon Gerst - 攻击和防御 GitHub Actions。

• Thinker - 追捕 4.77 亿美元的 FTX 黑客。

• Decrypt - 链上抓捕罪犯，嘉宾：Elliptic 的 Matt Price。

• Network Chuck - 你现在就需要学习 MCP！一个详细的演练，介绍如何使用自定义 MCP 服务器教 LLM 与安全工具进行交互。

研究

• SomaXBT 的 区块链取证 系列：

  • 加密货币威胁态势：针对加密货币用户的威胁和漏洞。

  • 区块链取证：追踪被盗资金的实用指南。

  • 区块链取证：归因技术和 OSINT 的作用。

  • 区块链取证：高级区块链取证技术和其他资源。

• 以太坊引擎内部：执行层实际如何工作，作者：Ezequiel Perez (OpenZeppelin)。

• SP1 和 zkVM：安全审计员指南，作者：Kirk Baird (Sigma Prime)。

• 供应链攻击：为下周做好准备，作者：Franco Riccobaldi (Coinspect)。

• npm、pnpm 和 Yarn 的供应链防护栏，作者：Franco Riccobaldi (Coinspect)。

• 供应链攻击正在针对 Web3：9 月份的 npm 黑客事件揭示了什么，作者：Chirag Agrawal (Guardrail)。

• 供应链攻击正在利用我们的假设，作者：Brad Swain (Trail of Bits)。

• 设备加固和恢复出厂设置指南，作者：OpSek。

• 如何设置以太坊节点 Part 1 和 Part 2，作者：Trash Pirate。

• 我们如何训练 LLM 在智能合约中发现重入漏洞，作者：seth (Unvariant)。

• MCP 安全：TOP 25 MCP 漏洞，作者：Adversa AI .

• 野外发现的第一个恶意 MCP：窃取你电子邮件的 Postmark 后门，作者：Idan Dardikman (Koi Security)。

• 从 EVM 迁移到 Move 第 1 部分，作者：VulSight。

• Commit-Reveal2：使用智能合约中随机化的揭示顺序来保护随机性信标。

• 当优先级失败时：快速最终性 Rollup 上的基于 Revert 的 MEV。

• BlockScan：检测区块链交易中的异常。

• 链上的贿赂者，贿赂者，抵抗都是徒劳吗？通过贿赂合约实现无信任的共识操纵。

• 未对齐的激励：针对区块链 Rollup 的定价攻击。

• 解码 TRON：大规模区块链数据提取和探索的综合框架。

• 具有语义和不确定性感知 LLM 的通用对抗性智能合约检测。

工具

• 推出 V12，作者：Zellic。一种自主的 Solidity 审计工具，旨在持续和自动地发现关键错误。

• • *

喜欢阅读 BlockThreat 吗？考虑赞助下一期或者成为付费订阅者，以解锁高级部分，其中包含有关黑客攻击、漏洞、指标、特别报告和可搜索的时事通讯档案的详细信息。

• 原文链接： newsletter.blockthreat.i...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～