BlockThreat - 2025 年第 47 周

当我们中的许多人都在享受布宜诺斯艾利斯温暖的天气和人们时，DeFi 生态系统遭受了四次攻击，总计损失近 400 万美元。最大的影响来自 GANA，它因私钥被盗而损失了 300 多万美元。紧随其后的是针对 Aerodrome/Velodrome 的 DNS 劫持攻击，导致大约 70 万美元从不知情的用户手中被盗，这些用户签署了通过受感染的前端传递的恶意交易。这鲜明地提醒了 DeFi 中持续存在的中心化风险，关键基础设施仍然依赖于从未设计用于承受我们已经习惯的链上高风险环境的组件。

说到第三方基础设施风险，包括区块链基础设施在内的整个互联网都受到了 Cloudflare 中断的影响。一些第三方公司的一个简单的数据库错误，突然导致我们所有的 RPC 服务器和钱包前端都宕机了。在黑客攻击和中断之间，也许是时候开始转向更具弹性的技术，例如 IPFS 和 Lava 网络（或类似技术）来托管关键链上基础设施了。

今年的 DeFi 安全峰会非常出色。从场地到演讲的质量，很明显区块链安全社区正在蓬勃发展。我已将已发布录音的链接添加到媒体栏目中。

请务必查看 2025 年 DeFi 安全状况，它超越了现在通常讨论的十大 DeFi 攻击媒介。今年，我更多地关注新兴威胁，以及我们已经多次侥幸避开的潜在的价值数十亿美元的故障模式。这些是我们需要在它们变成不仅仅是侥幸脱险之前优先考虑的领域。

我没有足够时间讨论的一个话题是竞争性事件响应。这个想法源于竞争性漏洞赏金的巨大成功，包括漏洞赏金、竞赛和类似的社区驱动的努力。为什么我们不能将相同的方法应用于事件响应？

有些任务很难众包，例如事件管理、缓解、沟通、与执法部门的协调以及传统上由事件指挥员处理的其他职责。这些应该保留在少数战情室参与者中。但是，还有其他一些任务，如果外包，可能会成为已经压力重重和过度劳累的事件响应人员的真正资产。

甚至在事件发生之前，总会有一场检测、分类和分配潜在问题严重性的竞赛。团队必须处理链上监控系统发出的持续噪音和误报，无论他们的营销主张如何。在实践中，许多项目依赖像 Peckshield 这样的第三方公司公开或私下通知他们利用交易哈希。这些公司有动力成为第一个宣布黑客攻击的人，因为早期可见性会带来客户，这是一种追逐救护车的形式。与其采用这种动态，为什么不创建一个激励更广泛的社区通过事件响应赏金平台分享已确认事件的机制呢？众包挑战仍然存在，例如低质量的提交和大量提交，但这些可以通过成熟的漏洞赏金计划中使用的相同信誉和分类流程来解决。

在正在发生的事件中，有一场识别根本原因的竞赛。这是一项时间极其敏感的任务，可能是成功控制或彻底灾难之间的区别。研究人员已经在社交媒体上竞争发布第一个准确的根本原因，那么为什么不激励第一个正确分析的赏金，并允许受影响的团队专注于控制和管理事件呢？想象一下，一个积极性很强的安全社区以我们在顶级安全竞赛中看到的相同精力投入到事件中。分析中节省的每一分钟都可以防止数百万美元的资产被盗。

事件发生后，链上跟踪工作通常会变成一个持续数月甚至数年的过程，许多项目最终会放弃。然而，正如 Oasis 恢复等案例所显示的那样，跟踪被盗资金并尽早干预通常是有回报的。越来越多的项目开始提供赏金，以帮助跟踪和资产恢复，那么为什么不将此形式化，并在不等待公开请求的情况下释放一支链上侦探军队呢？

以下是我们可以在事件的不同阶段提供的一些赏金：

在我每周跟踪的事件中，我看到了许多竞争性事件响应的出现。最近的 Balancer 恢复就是一个例子，在其中，良好调整的激励措施帮助了防御者成功。我相信我们现在正处于形成一种独特的 DeFi 安全学科的地步。想象一下，在一个我们让攻击者不仅难以找到漏洞，而且难以成功执行攻击并带着被盗资金逃脱的世界中。竞争性事件响应 可能是让我们到达那里的道路。

让我们深入了解新闻！

新闻

• 网络钓鱼道场已发布。加入公开测试版！ 作者：The Red Guild。

• 特朗普支持的 World Liberty Financial 在“第三方安全漏洞”后重新分配资金。

• Samourai Wallet 加密货币混合器的联合创始人被判刑.

• 征求意见：SEAL 认证 作者：Security Alliance (SEAL)。

• Bitcoin Core 的首次公开第三方审计未发现重大漏洞。

• Etherscan 完全移除了 Base、Optimism 和 Binance 链的一些免费 API 访问权限，但 getAbi、getSourceCode 和 verifyContract 调用除外 .

• Hoskinson 在开发人员“粗心”的实验分裂 Cardano 区块链后，让 FBI 介入。

• 当 Web 变暗 作者：Rekt。记录了 2025 年 11 月 18 日的 Cloudflare 中断. 一个关于你的中心化故障点的良好提醒。

• Google 发布安全修复程序，用于主动利用的 Chrome V8 零日漏洞.

• NHS 警告称，存在基于 7-Zip 符号链接的 RCE 漏洞的 PoC 利用.

• 智能合约安全中的人工智能：2025 年采用脉搏 作者：P.M.。

犯罪

• 加利福尼亚州男子承认洗钱，这些加密货币是在一起 2.3 亿美元的抢劫案中被盗的。Kunal Mehta（又名“Papa”、“The Accountant”和“Shrek”）是 ZachXBT 首次揭露的大规模社会工程计划 的又一位参与者。

• 参与 2024 年 6 月残酷入室抢劫案的多个不良行为者被判入狱。

• 加密货币巨头转移了与洗钱者、毒品贩运者和朝鲜黑客有关的数十亿美元资金 作者：Spencer Woodman、Agustin Armendariz、Miguel Fiandor Gutiérrez 和 Sam Ellefson (ICIJ)。

• Operation Destabilise：NCA 揭露了一个价值数十亿美元的洗钱网络，该网络购买了一家银行来资助俄罗斯的战争努力 作者：NCA .

• 乌克兰人在 DC 承认参与笔记本电脑农场计划，该计划为朝鲜 IT 工作者创造收入.

• 中国网红“橘子姐”因杀猪盘被捕。

• “现代巴勃罗·埃斯科巴”：财政部制裁涉嫌由加密货币资助的犯罪帝国的奥林匹克前运动员。

• CFO 因在加密货币副业中损失 3500 万美元的公司资金而被判有罪。

• 巴拉克·奥巴马和杰夫·贝索斯 Twitter 黑客背后的男子将偿还超过 500 万美元的被盗比特币。

• 国际行动追踪了数字盗版网站的 5500 万美元加密货币足迹。

• 马来西亚的加密货币矿工在五年内窃取了 10 亿美元的电力。

• 英国欺诈办公室逮捕了两名被控 2800 万美元 Basis Markets 地毯式骗局的男子。

• 印度尼西亚拘留了与 Markets.com 加密货币盗窃案有关的黑客，损失了 39.8 万美元。

• 美国宣布成立新的打击部队，专门打击中国加密货币诈骗犯。

• CrowdStrike 抓住了向黑客泄露信息的内鬼. 一个众所周知的 Scattered Lapsus$ Hunters 的策略再次奏效。

政策

• SEC 前工作人员 Amanda Fischer 因 Uniswap 的评论而受到攻击。

网络钓鱼

• 认识一下“Blackhat”——一位开发人员，他清理了一个有 4 年历史的工厂合约，并在短短一个多月的时间里部署了 700 多个蜜罐代币，从毫无戒心的交易者那里获得了超过 10 万美元的收入作者：GoPlus Security。

• 新型 Matrix Push C2 滥用推送通知来传递恶意软件 作者：Brenda Robb (BlackFog)。

• 我们都应该使用依赖冷却 作者：yossarian。

• 报告显示，存在一个涉及 DMT 空投的网络钓鱼活动 作者：GoPlus Security。

诈骗

• Libra II - Electric Boogaloo 作者：Rekt。诈骗仍在继续，而 Hayden Davis 没有承担任何后果。

• The Loop Contagion 作者：Rekt。记录了 Stream Finance 和 xUSD 脱钩的故事。

恶意软件

• 新型 Nova Stealer 通过交换合法应用程序来窃取加密货币钱包数据，从而攻击 macOS 用户。

• SpiderLabs 识别出通过 WhatsApp 分发的新型银行木马 作者：Trustwave。基于 Python 的蠕虫针对巴西设备。

• npm 恶意软件活动使用 Adspect 隐形技术来传递恶意重定向 作者：Socket。

• 恶意 Chrome 扩展程序泄露助记词，从而实现钱包接管 作者：Socket。

• CISA 警告称，Akira 勒索软件 Linux 加密器正在针对 Nutanix VM。

• 隐藏在虚假比特币工具中的 DarkComet RAT 恶意软件 作者：Kedar S Pandit & Jay Prakash (Lat61 Threat Intelligence Team)

• ShadowRay 2.0：攻击者在全球活动中将 AI 反过来利用，将 AI 劫持到自我传播的僵尸网络中 作者：Avi Lumelsky, Gal Elbaz (Oligo)。

• Tsundere 滥用区块链和 Node.js：一个新兴的僵尸网络 作者：Kaspersky。

• ShadowRay 2.0 利用未修补的 Ray 缺陷构建自我传播的 GPU 加密货币挖掘僵尸网络。

• 民族国家行为者的武器库：深入了解 Lazarus 的 ScoringMathTea 作者：0x0d4y Malware Research。

媒体

• 2025 年 DeFi 安全峰会

  • DeFi 安全 101

  • 礼堂舞台 - 第 1 天

  • 礼堂舞台 - 第 2 天

  • Nogal 舞台 - 第 1 天

  • Nogal 舞台 - 第 2 天

  • 工作坊

• Sherlock Web3 安全播客 - Coinbase 的审计标准，Shashank Agrawal。

• BOOM ROOM 播客 - Ep. 28 - 采访 Mitchell Amador (Immunefi).

• bountyhunt3rz - 第 31 集 - drastic watermelon。

比赛

• 终极安全游戏 2025 在 DSS 现场录制。祝贺欧洲队（zigtur、Josselin、Alex the Entreprenerd、AliceAndB0b）！

• 祝贺 Stack Too Deep 团队 (Anto, usmann, juancito, Drastic Watermelon, adrio) 赢得 The Wonderland CTF！

• Ethernaut 的新关卡 由 OpenZeppelin 及时在 DeFi 安全峰会上发布。

研究

• 白帽救援 作者：Safe Harbor (SEAL)。一个自 2022 年以来所有白帽救援的数据集合。0xcoffeebabe MEV 机器人正在这些救援中的大多数中发挥着最主要的作用。这是一个竞争性 DeFi 防御未来的良好指标。

• 我们使用 Wycheproof 在 elliptic 库中发现了密码学错误 作者：Markus Schiffermuller (Trail of Bits)。

• 区块链桥安全 - 介绍和第 1 部分：消息和签名重放 作者：Caliber。

• 链上订单簿中的 19 个安全陷阱（以及如何修复它们） 作者：Arda Usman (Hacken)。

• 区块链桥安全 - 第 2 部分：跨链签名和签名重放的变体 作者：Caliber。

• Balancer 11 月 3 日漏洞利用事后分析。对 2025 年最严重的 DeFi 智能合约漏洞利用的完整分析。

• 深入 MoveVM：检查 Sui 交易 作者：Quentin。

• Aztec 的工作原理 作者：Alex Korn。

• 智能合约中常见数学错误的启发式方法 作者：Bloqari (Zealynx)。

• 通过语义解释和不确定性估计揭示对抗性智能合约。

• BTC 中的激励攻击：短期收入变化和长期效率。

• SCRUTINEER：检测智能合约中可重用组件的逻辑级使用违规。

• 用于 Solana 和 Algorand 智能合约中基于 LLM 的漏洞检测的提示工程与微调。

• 以太坊交易有多独占？来自非获胜区块的证据。

• Esim：基于稳定语义图的 EVM 字节码相似度检测。

• SmartPoC：为智能合约错误报告生成可执行且经过验证的 PoC。

• Web3 的软件供应链安全。

• 用于智能合约漏洞检测的具有连续反射的多代理协作模糊测试。

工具

• Sol-azy 新功能 – Solana 程序的审计友好概述。

• SuperAudit- 一个革命性的 hardhat 插件，用于正确和激励的 人工智能驱动的智能合约审计。

• localsafe.eth。不要陷入下一次 Cloudflare 中断。

• • *

喜欢阅读 BlockThreat 吗？考虑赞助下一期 或 成为付费订阅者 以解锁高级部分，其中包含有关黑客攻击、漏洞、指标、特别报告和可搜索的新闻通讯档案的详细信息。

• 原文链接： newsletter.blockthreat.i...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～