Blockthreat 周报 - 2025年第29周

BlockThreat
发布于 22小时前
阅读 140

本周安全事件频发，多个交易所遭遇热钱包攻击，损失惨重。攻击者并非直接攻击私钥，而是控制了管理私钥的基础设施。此外，Tornado Cash 案件的审判正在进行中，涉及 NFT rug pull 的洗钱行为。同时，针对加密货币领域的恶意活动日益猖獗，包括网络钓鱼、恶意软件攻击等。

这周不好过，各位。总共有近 7500 万美元在六起独立事件中被盗。大部分损失来自两家交易所的热钱包被攻破：BigONE 损失 2700 万美元，CoinDCX 损失 4420 万美元。这两个案例中的一个关键模式是，攻击者并没有直接攻击私钥。相反，他们控制了负责管理这些密钥的基础设施。另一个共同的问题是通知用户的延迟。CoinDCX 等了几乎整整一天才发表公开声明，而 BigONE 大约花了半天时间。但是，如果没有人注意到，你无法在链上悄无声息地转移数百万美元，因此是区块链安全社区首先标记了这些黑客攻击。

![](https://img.learnblockchain.cn/2025/07/22/F60a78486-cc0d-48cb-bad3-d16038fb3f64_1904x640.png)

有时候过于安全可能会适得其反。在 Arcadia（被盗 360 万美元）的案例中，旨在保护协议的严格的安全措施使得在攻击期间难以做出响应。由于似乎是虚惊一场，冷却机制禁用了在暂停协议后再次暂停协议的能力。这为攻击者创造了一个窗口，可以利用一个关键漏洞并毫不中断地耗尽资金。尽管存在熔断机制，但它们只能在冷却期结束后才能触发。在这种情况下，旨在防止滥用的安全控制最终将防御变成了负担。
 
* * *

让我们深入了解新闻！

### 新闻

- **[Tornado Cash 审判开始，讨论了关于庭前动议和数据托管人的问题](https://bitcoinmagazine.com/news/tornado-cash-trial-begins-with-discussions-around-motions-in-limine-and-data-custodians)** 以及 **[Tornado Cash 审判第二天：控方和辩方讲述了关于 Roman Storm 的不同故事](https://bitcoinmagazine.com/news/tornado-cash-trial-day-2-prosecution-and-defense-tell-different-stores-about-roman-storm)** 。一位证人，**[Andre Marcus Quiddaoen Llacuna](https://www.justice.gov/usao-sdny/press-release/file/1486816/dl?inline)** 作证说，他使用 Tornado Cash 洗钱来自 NFT rug pull 的收益，这一举动最终被证明是徒劳的，因为他仍然面临长达 20 年的监禁。

- **[“生存威胁”：比特币提案将冻结中本聪的量子易损币](https://decrypt.co/330272/bitcoin-proposal-freeze-satoshis-quantum-vulnerable-coins)**。

- **[2025 年中期加密货币犯罪报告 - 2025 年上半年](https://research.blockscope.co/mid-year-2025-crypto-crime-report)**，由 Blockscope 发布。

- **[2025 年加密货币犯罪年中更新：被盗资金激增，朝鲜民主主义人民共和国创下新纪录](https://news.google.com/rss/articles/CBMidkFVX3lxTFBEOFJlU3dsbzAyTG1sd3BUY1Q1eVVqLWtLelVfYms4WDBYMm5ncS1wYzNlLXNjWThNX21fQnJoSzJvVEhjNVhxREhCVHFPTVNlanFIeURYU1BuajFYNUlmN3ZYbWFtemFOUjJtTUtWZmFmLTFEYmc?oc=5)**，由 Chainalysis 发布。

- **[2025 年跨境犯罪状况](https://www.elliptic.co/resources/the-state-of-cross-chain-crime-2025)**，由 Elliptic 发布。

- **[2025 年上半年报告：加密货币漏洞利用和安全漏洞](https://www.quillaudits.com/reports/crypto-exploits-h1-report-2025)**，由 QuillAudits 发布。

- **[2025 年代码安全状况](https://www.wiz.io/reports/state-of-code-security-2025)**，由 Wiz 发布。暴露的密钥和秘密、损坏的 CI/CD、权限以及来自 tradsec 的其他常见缺陷。

### 犯罪

- **[朝鲜在 4 个月内洗钱了 10 亿美元的加密货币。行业领导者如何改变加密货币冻结和恢复](https://www.zeroshadow.io/post/coalition-public-statement)**，由 ZeroShadow 发布。

- **[国家犯罪局前官员因盗窃比特币入狱五年多，如今价值 590 万美元](https://www.theblock.co/post/363146/former-national-crime-agency-officer-jailed-for-stealing-bitcoin).** Paul Chowles 从 Silk Road 2.0 运营商 Defcon 那里盗窃了比特币。这是 **[两名腐败特工从最初的 Silk Road 窃取资金](https://www.forbes.com/sites/katevinton/2015/03/30/two-former-federal-agents-charged-with-stealing-bitcoin-during-silk-road-investigation/)** 的奇怪重复，仅仅发生在几年前。

- **[追踪冻结：USDT 黑名单及其与恐怖主义融资的联系的链上分析](https://learnblockchain.cn/article/18840)**，由 BlockSec 发布。

- **[加密货币洗钱者如何在交易所解冻被标记的资金](https://medium.com/coinmonks/how-crypto-money-launderers-unfreeze-flagged-funds-on-exchanges-9dd0ea5208ea?source=rss-42d24644e3af------2)**，由 Nefture Security 发布。

- **[联邦调查局追踪到亚美尼亚黑客在爆炸性勒索软件案件中的 1,610 个 BTC](https://news.bitcoin.com/fbi-tracks-1610-btc-to-armenian-hacker-in-explosive-ransomware-case/)**。

- **[英国金融行为监管局和大都会警察局查获了七台加密货币 ATM 机，并逮捕了两名涉嫌运营非法加密资产交易所的人](https://www.fca.org.uk/news/press-releases/seven-crypto-atms-seized-two-arrested-suspicion-illegal-cryptoasset-exchange)**。

- **[Abacus 暗网市场可能存在 Bitcoin 付款退出诈骗](https://cybersecuritynews.com/abacus-dark-web-market-exit-scam/)**。

- **[美国缉毒局和联邦调查局查获了价值 1000 万美元的加密货币，“与锡那罗亚贩毒集团直接相关”](https://news.google.com/rss/articles/CBMingFBVV95cUxPZW5XNnY0a1FST29NRTFvMEtROGYxYi1TSkF6Q1k1SGhUUGpROUQxQzl1dDEzRGxQcElkcE9wa0xJZEhoODNOTEpLZFBfakpnZ19GSkFoWmdQaXlaQ2QwdjhFWklJc1R4aU9qWWpkbFNiN1NHMVRrbE1hQ0d0czA4VFdEYUVzTWZuTU1mQmhPWGkyMmMwVk1LU2Y5MEhPd9IBowFBVV95cUxQaEVxQWdQdUpqOElyc1Q3Nm1ocDhiTk55NXVMMm1WdEFoVl9GaHBUXzR2amNxSXJqcHJKcDJtMnBSUHV4WTQzYW5kWnpZNXNDRXBmU3RWcENIR2lZWUFfbW9zXzd1NXU1WGpGYXY3NEpnVzZZSk92UWxUQjRlWlh6T2o2U1Jzd19LR1NLV01NeFVJNUxkVDFQZ29pMXNfLU5vSUNr?oc=5)**。

### 政策

- **[特朗普政府结束了对 Polymarket 的调查，没有提出指控](https://www.cnbc.com/2025/07/15/polymarket-investigations-doj-cftc-betting-market.html)**。

- **[GENIUS 法案通过：谁是赢家，输家，以及接下来会发生什么？](https://unchainedcrypto.com/genius-act-passes-who-are-the-winners-losers-and-what-comes-next/)**

### 钓鱼

- **[Trezor 钓鱼活动报告](https://x.com/PabloSabbatella/status/1946333498366631951)**，由 Pablo Sabbatella (OpSek) 发布。

- **[朝鲜新的恶意软件通过虚假 Zoom 邀请针对加密货币初创公司](https://moonlock.com/malware-fake-zoom-invites)**，由 Ray Fernandez (Moonlock) 发布。

- **[黑暗伙伴：通过虚假 AI、VPN 和软件站点进行的多平台加密货币盗窃](https://blog.alphahunt.io/dark-partners-multi-platform-crypto-theft-via-fake-ai-vpn-and-software-sites/)**，由 Wes (Alphahunt) 发布。

- Solana 上的多个 **[报告](https://x.com/moxybtc/status/1945231152475689267)** 钱包被盗。Nova 发表声明称，他们的项目 **[没有任何明显的漏洞](https://x.com/aryub/status/1945283176051445773)**。

### 诈骗

- **[130 亿元人民币消失：新康家 DGCX 骗局的崩溃](https://slowmist.medium.com/13-billion-rmb-vanished-the-collapse-of-the-xinkangjia-dgcx-scam-f2ba6863a782)**，由 Lisa 和 Keywolf (SlowMist) 发布。

### 恶意软件

- **[老矿工，新招数 - H2miner 再次出现，带有 Lcrypt0rx 勒索软件](https://www.fortinet.com/blog/threat-research/old-miner-new-tricks)**，由 Akshat Pradhan (Fortinet) 发布。

- **[加密劫持已死：加密劫持万岁](https://cside.dev/blog/cryptojacking-is-dead-long-live-cryptojacking)**，由 Himanshu Anand (C/Side) 发布。

- **[传染性面试活动升级，包含 67 个恶意 npm 包和新的恶意软件加载器](https://socket.dev/blog/contagious-interview-campaign-escalates-67-malicious-npm-packages)**，由 Kirill Boychenko (Socket) 发布。

### 视频

- **bountyhunt3rz - [第 21 集 - danielvonfange](https://www.youtube.com/watch?v=9eT_rUtLPjA)**。

- **Electi Security - [Block 7 嘉宾演讲：DevDacian - 智能合约启发法和审计师品牌](https://www.youtube.com/watch?v=AiNneURcxDw)**。

- **[钱包安全](https://www.youtube.com/watch?v=AnjEbLUCecw)**，嘉宾 Patrick Collins 和 Xavier Hendrickx。关于当前和未来钱包安全趋势的良好讨论。

- Summercon 2205 - **[破解 DePIN：去中心化设备，中心化灾难](https://www.youtube.com/watch?v=93YLozgxYrQ).**

- **[Echidna 如何膨胀数百万的投票权：编写和打破属性](https://x.com/i/broadcasts/1dRKZYvXNgvxB)**，由 Alex (Recon) 发布。

### 研究

- **[Token错误发送到 1inch Aggregation Router？忘了它们吧](https://carbontec.io/blog/1inch-router-rescuefunds-exploit)**，由 Carnontec 发布。价值约 52 万美元的错误发送资金被悄悄耗尽。

- **[重入难题 - 解剖永远改变以太坊的传奇漏洞](https://0x00auditor.medium.com/the-reentrancy-riddle-dissecting-the-legendary-bug-that-changed-ethereum-forever-e450fc01def7)**，由 Shashank Mudgal 发布。

- **[解码 Solidity 元数据](https://jmcph4.dev/posts/decoding-solidity-metadata.html)**，由 jmcph4 发布。

- **[Safe：链上应用程序的所有权基础设施层](https://4pillars.io/en/articles/safe-ownership-infra-layer-for-onchain-applications)**，由 c4lvin 和 JW (Four Pillars) 发布。

- **[LLAMA：具有 LLM 指导种子生成的多反馈智能合约 Fuzzing 框架](https://arxiv.org/abs/2507.12084)**。

- **[区块链制裁下的逃避](https://arxiv.org/abs/2507.11721)**。

- **[测量 CEX-DEX 提取价值和搜索者盈利能力：MEV 暗森林中最黑暗的部分](https://arxiv.org/abs/2507.13023)**。

- **[ZKStack 跨链架构内幕 — 第一部分：深入了解 Merkle 树层次结构](https://learnblockchain.cn/article/18878)**，由 Andrianna Polydouri & Yuguang Ipsen (OpenZeppelin) 发布。

### 工具

- **[Halmos v0.3.0 发布](https://learnblockchain.cn/article/18851/)**。新增功能包括有状态不变性模糊测试（！），覆盖率报告，更多求解器支持等等。

* * *

喜欢阅读 BlockThreat 吗？**[考虑赞助下一期](https://forms.gle/txRaFt21Qdo1kbMc9)** 或 **[成为付费订阅者](https://www.blockthreat.io/subscribe)**，以解锁高级版块，其中包含关于黑客攻击、漏洞、指标、特别报告和可搜索的新闻简报存档的详细信息。

* * *

>- 原文链接： [newsletter.blockthreat.i...](https://newsletter.blockthreat.io/p/blockthreat-week-29-2025)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～