BlockThreat 安全周报 - 2025年第41周

Hyperliquid | Wolf | Astera | Squid | VeloraDEX | Binance

本周在 9 起事件中，超过 2200 万美元被盗。大部分损失来自一个 Hyperliquid 用户的妥协，导致他们损失了 2100 万美元。这是一次毁灭性的损失，也是整个生态系统中用户遭受攻击的持续趋势。

更令人担忧的事件是由关税恐慌引发的生态系统范围内的崩溃。当相对较小的 6000 万美元的 USDe 抛售导致其价格信息误报价值时，Binance 受到了影响，从而引发了 wBETH 和 BNSOL 等抵押资产的一系列强制清算。这个有缺陷的预言机过度依赖 Binance 自己的订单簿，没有足够的跨交易所验证或时间加权，从而将局部的价格波动变成了 190 亿美元的清算级联。Binance 后来补偿了用户大约 2.3 亿美元的损失，承认这是一次内部系统性故障，而不是用户错误。

我们通常关注安全漏洞，但像这样的市场范围内的事件在熔断机制失效、价格被错误报告以及交易者被不公平地清算时，可能同样具有破坏性。这有力地提醒我们，金融保障与安全控制同样重要，因为它们的失效同样容易摧毁一个协议。

让我们深入了解新闻！

新闻

• 预言机，预言机，预言机：价格信息设计如何将 6000 万美元变成 190 亿美元的灾难 作者：YQ。关于一系列 脱锚 如何在 Binance 引发灾难性的 预言机故障 的大师级分析。一个重要的提醒，永远不要相信单一的价格信息，尤其是一个内部的价格信息，无论你是 CeFi 还是 DeFi。

• “比特币耶稣” Roger Ver 就 4800 万美元的税务案件与司法部达成初步协议。

犯罪

• 朝鲜的加密货币黑客在 2025 年已经窃取了超过 20 亿美元 作者：Elliptic。

• 朝鲜民主主义人民共和国的危险密码以及如何避免他们的策略 作者：zeroShadow。

• 当黑客被黑：分析 LockBit 的漏洞 作者：SlowMist。

• 认识 Scattered Spider：目前正在分散英国零售组织的团伙 作者：Adi Bleih (Cyberint)。在高价值组织中招募特工的新策略。

• 英国二人组因计划从监狱盗窃 2300 万美元的加密货币而受审。

• 巴西联邦警察在“Lusocoin 行动”中捣毁了一个价值 5.4 亿美元的加密货币洗钱网络 作者：TRM。

• 诈骗 Compound 运营商：“四大家族”成员在中国被判处死刑。

• 两人在特拉维夫因对比特币交易员进行价值 60 万美元的“扳手攻击”而被起诉。

钓鱼

• Drainers 的状态 第 1 卷 作者：SEAL。

• 由于私钥泄露，受害者 0x0cdC...E955 在 #Hyperliquid 上损失了价值约 2100 万美元的加密货币 作者：Peckshield。

恶意软件

• Astaroth 银行木马利用 GitHub 窃取加密货币凭据。

媒体

• The Network Podcast - 运营安全 与 Pablo Sabbatella。

• Web3 Security Podcast - Safe 的 600 亿美元安全堆栈：形式验证、审计和 100 万美元的赏金，嘉宾 Richard Meissner。

• bountyhunt3rz - 第 26 集 - alix40。

• Chainalysis - 深入 FBI：加密货币、犯罪与国家安全 – 第 171 集。

研究

• 防止 Merkle 树中的第二原像攻击：完整指南 作者：Ahmad Khan (Adevar Labs)。

• AI 漏洞挖掘：防止 Euler 中的费用累积 作者：riptide。

• Web3 协议中的治理作为攻击向量 作者：Paul (Cantina)。

• 稳定币安全：设计选择如何产生漏洞和经济风险 作者：Olesia Bilenka (Hacken)。

• 使用预训练编程语言模型进行智能合约意图检测。

• 以太坊智能合约中庞氏骗局的安全分析。

• 原文链接： newsletter.blockthreat.i...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～