BlockThreat 周报 - 2025 年第 44 周

BlockThreat
发布于 6小时前
阅读 54

本周多个安全事件导致超过 1120 万美元被盗，其中包括 Garden Finance 由于私钥泄露损失近 1100 万美元，以及 0xc0ffee MEV 机器人因 uniswapV3SwapCallback 方法暴露损失 21.8 万美元。

本周，在 11 起事件中，超过 1120 万美元被盗。其中更值得关注的漏洞是 0xc0ffee MEV 机器人的攻击，由于暴露了 uniswapV3SwapCallback 方法，损失了 21.8 万美元。今年已经出现过**几次**这样的情况，所以一定要看看 Giovanni Di Siena 在研究部分关于 hook 安全的文章，了解如何锁定这些回调。

![](https://img.learnblockchain.cn/2025/11/04/F1ee9271d-8a13-4639-815b-5f6b3d798d78_1904x640.png)

Garden Finance 在其一个求解器被攻破且私钥被盗后，损失了近 1100 万美元。具有讽刺意味的是，Garden Finance 之前曾被指控为 Lazarus 关联的多次黑客攻击（如 Bybit、SwissBorg 等）的洗钱场所。在一个经典的边境正义时刻，ZachXBT 拒绝提供任何支持，甚至**劝阻攻击者归还**任何非法获得的资金。

哦，请注意来自 LastPass 的网络钓鱼电子邮件！

* * *

让我们深入了解新闻！

### 新闻

- **[我们在拉丁美洲最大的安全会议 Ekoparty 上的存在](https://blog.theredguild.org/our-presence-at-the-biggest-security-latin-american-conference-ekoparty/)**，作者：The Red Guild。

- **[Aardvark 介绍：OpenAI 的代理安全研究员](https://openai.com/index/introducing-aardvark/)**。人工智能审计领域越来越热门。

### 犯罪

- **[Inner City Press 关于 US v Peraire-Bueno 审判的帖子](https://x.com/innercitypress/status/1978461122496717176)**。

- **[一对不太可能的夫妇、一段注定失败的恋情以及他们 6400 万欧元的勒索软件骗局](https://archive.ph/QtcRw)**。CryLock (Cryakl) 勒索软件运营者 Vadim Sirotin 和 Elena Timofeeva 的内幕。

- **[对 Chollima III 的采访](https://quetzal.bitso.com/p/interview-with-the-chollima-iii)**，作者：Mauro Eldritch 和 Ulises (Bitso)。

- **[加密货币浪费：BlueNoroff 资助和工作的幽灵海市蜃楼](https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/)**，作者：Kaspersky。关于一个新的 GhostCall 活动的详细信息，该活动通过带有 macOS 恶意软件的 telegram 针对加密货币社区。

- **[印第安纳州警方追回被盗的比特币矿机——以及价值 7.5 万美元的冷冻火鸡](https://decrypt.co/346420/indiana-police-recover-stolen-bitcoin-mining-rigs-75k-frozen-turkeys)**。

- **[NBA 赌博丑闻：至少查获 40 万美元的 ETH](https://protos.com/nba-gambling-scandal-at-least-400000-in-eth-seized/)**。

- **[泰国皇家警察逮捕了涉嫌参与数百万美元加密货币欺诈计划的中国籍逃犯](https://www.trmlabs.com/resources/blog/royal-thai-police-arrest-fugitive-chinese-national-behind-multi-million-dollar-crypto-fraud-scheme)**，作者：TRM。

- **[中国男子因涉嫌 1400 万美元的加密货币庞氏骗局在曼谷被捕](https://decrypt.co/346753/chinese-man-arrested-bangkok-alleged-14m-crypto-ponzi)**。

- **[倒闭的 Thodex 交易所的 CEO 在土耳其监狱服刑 11196 年后被发现死亡](https://www.theblock.co/post/377170/ceo-of-collapsed-thodex-exchange-found-dead-in-turkish-prison-while-serving-11196-year-sentence-report)**。

### 网络钓鱼

- **[可能存在的 CryptoChameleon 社交工程活动，针对 LastPass 客户、加密货币交易所客户、Passkey 等](https://blog.lastpass.com/posts/possible-cryptochameleon-social-engineering-campaign-targeting-lastpass-customers-and-more)**。一种新的网络钓鱼活动，使用索要受害者死亡证明作为诱饵。

- YAM 关于**[具有高 APR 的恶意 Merkl 活动](https://x.com/yieldsandmore/status/1983194149810545006)**和未经验证的 Euler 金库的帖子。攻击者正在使用具有高预言机价格的虚假市场来耗尽任何提供的流动性。

### 诈骗

- **[纸牌屋](https://rekt.news/house-of-cards)**，作者：Rekt。一个关于两种陷入相互支持循环的稳定币的故事。会出什么问题？

### 恶意软件

- **[伪装成免费视频游戏作弊器的信息窃取器](https://vxdb.sh/info-stealing-malware-disguised-as-video-game-cheats/)**，作者：vxdb。

- **[从梦想工作到恶意软件：Lazarus 近期活动中的 DreamLoader](https://lab52.io/blog/dreamloaders/)**，作者：Lab52。

### 媒体

- **bountyhunt3rz - [第 29 集 - j4x](https://www.youtube.com/watch?v=FwQid0sJIKw)**。

- **[治理期货 S.1 第 17 集 - 安全、DAO 和人为错误：与 Isaac Patka 一起进行 Web3 威胁建模](https://youtu.be/m0aQVDHWN7k?si=pVVtN9ehDDk-V6La)**。

**比赛**

- **[N1CTF 2025 挑战赛](https://github.com/Nu1LCTF/n1ctf-2025/tree/main)**

### 研究

- **[Uniswap V4 Hooks 安全深度解析](https://surfing-solodit.com/uniswap-v4-hooks-security-deep-dive)**，作者：Giovanni Di Siena (Solodit)。

- **[多重签名安全分析](https://blog.electisec.com/multisig-security)**，作者：engn33r (Electisec)。

- **[保护区块链：人工智能和保持领先地位+ Ethena 收益盗窃](https://substack.com/home/post/p-177265072)**，作者：Bountyhunt3rz。

- **[协议遭到黑客攻击多年后，你如何被耗尽资金？](https://x.com/muststopye/status/1984890621014720858)**，Ye in Web3 发布的关于受害者的帖子。

- **[不良氛围](https://rekt.news/bad-vibes)**，作者：Rekt。一篇关于人工智能增强代码开发的未来、其风险和陷阱的优秀分析。正如文章中提到的：“我们什么时候才能看到我们的第一个加密货币漏洞，发现根本原因是氛围代码？”。

- **[新的物理攻击正在迅速削弱 Nvidia、AMD 和 Intel 的安全 enclave 防御](https://arstechnica.com/security/2025/10/new-physical-attacks-are-quickly-diluting-secure-enclave-defenses-from-nvidia-amd-and-intel/)**，作者：Dan Goodin (Ars Technica)。

- **[预言机基础设施：借贷协议的支柱](https://castlelabs.substack.com/p/oracle-infrastructure-the-backbone)**，作者：Noveleader 和 Francesco (Castle Labs)。

- **[DeFi 顶级货币市场的核心架构和定位](https://castlelabs.substack.com/p/core-architecture-and-positioning)**，作者：Noveleader 和 Atomist (Castle Labs)。

- **[Uniswap v1 解释：它如何永远改变了 DeFi](https://www.zealynx.io//blogs/uniswap-v1)**，作者：M3D (Zealynx)。

- **[Wake 手动引导模糊测试的氛围模糊测试指南](https://ackee.xyz/blog/vibe-fuzzing-guide-for-wakes-manually-guided-fuzzing/)**，作者：Naoki Yoshida (Ackee)。

- **[链下组件中的 7 大发现](https://composable-security.com/blog/top7-findings-in-off-chain-components/)**，作者：Damian Rusinek (Composable Security)。

- **[使用 LLM 推理检测各种 DeFi 价格操纵](https://arxiv.org/abs/2502.11521)**。

- **[FLAMES：微调 LLM 以合成智能合约安全的不变量](https://arxiv.org/abs/2510.21401)**。

- **[LLM 驱动的 DeFi 价格操纵检测](https://arxiv.org/abs/2510.21272)**。

- **[DeepTx：通过多模式特征和 LLM 推理进行实时交易风险分析](https://arxiv.org/abs/2510.18438)**。

### 工具

- **[多重签名安全检查器](https://safe.electisec.com/)**，作者：engn33r。分析你的 Safe 多重签名合约，以了解安全最佳实践。

- **[Localsafe.eth 已正式启动](https://x.com/PatrickAlphaC/status/1983711817890459665)**。享受始终可用的 IPFS 或本地托管的多重签名，而无需依赖大型云基础设施。

- **[设备加固和恢复出厂设置指南](https://github.com/Opsek/OSs-security)**，作者：Opsek。

- **[Orb Explorer](https://orb.helius.dev/)** 现在包括 Solana **[程序源代码](https://x.com/0xNazreen/status/1984064555081941249)**。

* * *

>- 原文链接： [newsletter.blockthreat.i...](https://newsletter.blockthreat.io/p/blockthreat-week-44-2025)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

Garden Finance | Peapods | 402 Bridge | 0xc0ffee | MEV | Thodex | LastPass

本周，在 11 起事件中，超过 1120 万美元被盗。其中更值得关注的漏洞是 0xc0ffee MEV 机器人的攻击，由于暴露了 uniswapV3SwapCallback 方法，损失了 21.8 万美元。今年已经出现过几次这样的情况，所以一定要看看 Giovanni Di Siena 在研究部分关于 hook 安全的文章，了解如何锁定这些回调。

Garden Finance 在其一个求解器被攻破且私钥被盗后，损失了近 1100 万美元。具有讽刺意味的是，Garden Finance 之前曾被指控为 Lazarus 关联的多次黑客攻击（如 Bybit、SwissBorg 等）的洗钱场所。在一个经典的边境正义时刻，ZachXBT 拒绝提供任何支持，甚至劝阻攻击者归还任何非法获得的资金。

哦，请注意来自 LastPass 的网络钓鱼电子邮件！

让我们深入了解新闻！

新闻

我们在拉丁美洲最大的安全会议 Ekoparty 上的存在，作者：The Red Guild。
Aardvark 介绍：OpenAI 的代理安全研究员。人工智能审计领域越来越热门。

犯罪

Inner City Press 关于 US v Peraire-Bueno 审判的帖子。
一对不太可能的夫妇、一段注定失败的恋情以及他们 6400 万欧元的勒索软件骗局。CryLock (Cryakl) 勒索软件运营者 Vadim Sirotin 和 Elena Timofeeva 的内幕。
对 Chollima III 的采访，作者：Mauro Eldritch 和 Ulises (Bitso)。
加密货币浪费：BlueNoroff 资助和工作的幽灵海市蜃楼，作者：Kaspersky。关于一个新的 GhostCall 活动的详细信息，该活动通过带有 macOS 恶意软件的 telegram 针对加密货币社区。
印第安纳州警方追回被盗的比特币矿机——以及价值 7.5 万美元的冷冻火鸡。
NBA 赌博丑闻：至少查获 40 万美元的 ETH。
泰国皇家警察逮捕了涉嫌参与数百万美元加密货币欺诈计划的中国籍逃犯，作者：TRM。
中国男子因涉嫌 1400 万美元的加密货币庞氏骗局在曼谷被捕。
倒闭的 Thodex 交易所的 CEO 在土耳其监狱服刑 11196 年后被发现死亡。

网络钓鱼

可能存在的 CryptoChameleon 社交工程活动，针对 LastPass 客户、加密货币交易所客户、Passkey 等。一种新的网络钓鱼活动，使用索要受害者死亡证明作为诱饵。
YAM 关于具有高 APR 的恶意 Merkl 活动和未经验证的 Euler 金库的帖子。攻击者正在使用具有高预言机价格的虚假市场来耗尽任何提供的流动性。