BlockThreat - 2025年第26周周报

本周发生了四起事件，超过 1200 万美元被盗，其中 Resupply 和 Silo Finance 遭受了数百万美元的损失。Resupply 黑客事件尤其值得关注，由于一个反复出现的漏洞，通过四舍五入的错误来铸造过多的协议代币，导致 980 万美元被盗。自从 2023 年 Hundred Finance 黑客事件 以来，这种漏洞类别已经造成超过 5100 万美元的损失，因为开发人员不断吸取惨痛的教训，即新部署的市场需要额外的谨慎，尤其是在数学精度和初始流动性方面。该事件还引发了一系列熟悉的互相指责，进一步加剧了整个生态系统的戏剧性。

其余的破坏也同样容易预防。一个名为 printMoney 的 MEV 机器人由于功能访问控制不足损失了 200 万美元，而 Silo Finance 由于糟糕的功能参数验证损失了超过 50 万美元。这些都是众所周知且有据可查的问题。如果你还没有查看，请查看最近发布的 DeFi 十大攻击向量，其中这两个类别年复一年地出现在列表中，持续造成数百万美元的损失。

在其他新闻中，请务必查看由 DeFi Hack Labs、ScamSniffer 和 SlowMist 的优秀人士发起的一个新的社区驱动项目 Unphishable。这是一系列互动挑战，旨在教用户如何发现和避免常见的 Web3 网络钓鱼攻击。该项目模拟了涉及恶意签名、欺骗性 dApp 和虚假支持代理的真实诈骗，为用户提供了一个低风险的环境，以便在真正投入资金之前训练他们的直觉。太棒了！

让我们深入了解新闻！

新闻

• Cork 黑客将 ETH 发送到 Tornado Cash，捐赠给 Roman Storm 的基金，从而在 区块链安全行业引发了更多不必要的闹剧。

• 追踪到希腊加密货币交易所的 15 亿美元 Bybit 黑客事件的赃物。

• Ledger 正在停止支持旧的 Ledger Nano S 设备。

• Immunefi 和 Spectra Finance 之间关于漏洞赏金支付的争议.

• Areta 发布的 2025 年加密货币安全状态。包括主要参与者和整体安全计划在内的 区块链安全市场的高级概述。

犯罪

• 仅使用门罗币的黑客 IntelBroker 在接受 FBI 的比特币后被捕 - dlnews.com。一个关于 250 美元的 BTC 存款 揭开了一切的故事。

• ZachXBT 对总部位于纽约的社交工程诈骗者 Daytwo/PawsOnHips (Christian Nieves) 如何通过冒充客户支持从 Coinbase 用户那里窃取 400 多万美元、购买奢侈品并在赌场赌博中输掉大部分资金的调查。

• Nefture Security 撰写的 HyperLiquid：加密货币洗钱的新途径？。

• Lisa (SlowMist) 撰写的 HuionePay 的链上分析：揭示超过 550 亿美元的 USDT 资金流动。

• BlockSec 撰写的 什么是即时加密货币交易所，以及它们为何成为洗钱的热点？。

• Officer CIA 发布的 俄罗斯毒品市场在 Solana 上推出其代币。

• 比特币公司表示，警察不应该锯开比特币 ATM 以扣押被诈骗客户的现金，将寻求对被毁坏机器的赔偿——该公司声称扣押是犯罪行为，并且受害的是该公司。

• Winnona DeSombre Bernsen 撰写的 崩溃（漏洞利用）和燃烧：保护进攻性网络供应链以对抗网络空间的中国。如果你想了解传统的信息安全 0day 供应链和市场。

政策

• 纽约南区检察官 对 Samourai Wallet 提起了一份取代起诉书，其中包含许多事实错误，包括 Samourai 以某种方式代表非托管钱包进行转账，同时还破坏了 Whirlpool 的安全性。

• 法官拒绝 SEC 与 XRP 达成和解，Ripple 仍需支付 1.25 亿美元的罚款。

• 比特币 ATM 巨头被处以 30 万美元的罚款。

网络钓鱼

• Unphishable - 一系列教育挑战，帮助你理解和识别常见的 Web3 网络钓鱼攻击。

• Trezor 的支持平台在加密货币盗窃网络钓鱼攻击中被滥用。

• PhishingHook：利用 EVM 操作码捕获网络钓鱼以太坊智能合约。

诈骗

• Pepe meme 创造者的 NFT 项目遭受 100 万美元的损失，合约劫持者耗尽了藏品。

恶意软件

• Sunil Bharti、Shubham Singh (TrendMicro) 撰写的 发现一个支持 Tor 的 Docker 漏洞。一份关于暴露的 docker API 进行加密货币挖掘的大规模活动的报告。

• Maor Dahan (Akamai) 撰写的 加密货币矿工的解剖：关闭挖掘僵尸网络。

• Sergey Puzan (Kaspersky) 撰写的 SparkKitty，SparkCat 的小弟弟：在 App Store 和 Google Play 中发现的新木马间谍。针对移动用户的加密货币窃取活动分析。

媒体

• bountyhunt3rz - 第 18 集 - riptide。

• OpenSense - 停止猜测。开始证明。Halmos 的形式验证，Shanzson (Zokyo)。

• OpenSense - Starknet Cairo 的安全，Talfao (Codespect)。

• 朝鲜民主主义人民共和国土木工程师虚假个人资料流程. 关于如何创建其土木工程个人资料的实际朝鲜民主主义人民共和国教学视频。这是与 朝鲜民主主义人民共和国持证土木工程师 的示例会话。

研究

• The Caliber 撰写的 跨链桥漏洞集合。

• ZKSecurity 撰写的 信任，但要衡量：Intel TDX 的友好介绍。

• ChainSecurity 撰写的 当空表示有效时：利用 MPT 证明验证来获得另一种真相。

• Andy Li (Sigma Prime) 撰写的 在 Sidecar 安全审查期间发现的 Live EigenLayer 错误。

• Johnny Time 撰写的 顶级智能合约审计师的真实收入是多少？。

• Marco Besier (ZKSecurity) 撰写的 常见的 Circom 陷阱以及如何躲避它们 - 第 1 部分。

• Benjamin Samuels (Trail of Bits) 撰写的 使你的智能合约超越私钥风险。

• Shubhi Saran (Immunebytes) 撰写的 分析跨区块链的可升级性模式。

• Fuzzing Labs 撰写的 用于应用程序安全测试的 AI 代理。

• Greg Rubin (SalusaSecondus) 撰写的 CryptoGotchas - Greg Rubin (SalusaSecondus) 撰写的常见（有趣的）加密错误和学习资源集合。

• ETrace：通过基于 LLM 的跟踪分析在智能合约中进行事件驱动的漏洞检测。

• 通过反向计算生成对抗网络实现高效的基于区块链的隐写术。

• Smart-LLaMA-DPO：用于可解释的智能合约漏洞检测的强化大型语言模型。

• FORGE：用于大规模智能合约漏洞数据集构建的 LLM 驱动框架。

• SCOOP：支付通道网络中具有成本效益的拥塞攻击。

• 使用大型语言模型反编译智能合约。

工具

• Accretion Solana 数据反编译器 - 一种基于浏览器的逆向工程工具，用于分析具有深度 Solana 区块链集成的十六进制数据。非常适合检查原始二进制数据、Solana 账户结构以及发现区块链数据中的模式。实时工具 here。

• 原文链接： newsletter.blockthreat.i...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～