BlockThreat 周报 - 2025年第42周

Lubian | Typus | 代码即法律 | Paxos |

本周只发生了几起攻击事件，但不良行为者仍然设法窃取了 370 万美元。然而，最大的新闻是关于区块链历史上最大的一次攻击 Lubian Miner 的更新。美国政府似乎设法从这次黑客攻击中查获了被盗资金，现在价值 150 亿美元。更多细节请参见下面的新闻部分。

在其他新闻中，“代码即法律”纪录片即将上映。我有机会提前预览了一下，它绝对非常出色，深入探讨了 The DAO、Indexed Finance、KyberSwap、Mango Markets 以及其他具有里程碑意义的黑客攻击事件，在这些事件中，“代码即法律”的论点不断浮出水面。这部电影的上映非常及时，因为 2023 年两个 麻省理工兄弟 发起的 MEV 机器人攻击案 即将开庭审理，据报道，被告计划使用同样的辩护理由来证明他们利用 Flashbots 协议中的隐私漏洞并欺骗其他 MEV 机器人的行为是正当的。

让我们深入了解一下新闻！

活动

• Web3 安全工具研讨会 (W3ST) 征稿截止日期为 2025 年 10 月 24 日。

新闻

• 宣布 今日BlockThreat。一个提醒你过去发生的漏洞、漏洞、研究出版物和其他重大事件的项目，因为那些不学习历史的人注定要重蹈覆辙。

• 代码即法律 纪录片发布。一部扣人心弦的纪录片，讲述了 DeFi 安全的起源以及“代码即法律”和“法律即法律”之间持续存在的哲学战争。

• 麻省理工学院毕业生兄弟的审判将焦点放在“狂野西部”加密货币交易上.

• Arbitrum 触发了一个 安全委员会紧急行动，以解决 Arbitrum Sepolia 网络上的链分裂漏洞。

• Paxos 300 万亿美元的意外，作者 Rekt。Paxos 的一次鲁莽的铸币行为，他们似乎在广播交易之前没有运行链上模拟。

• 黑客可以从 Android 手机窃取 2FA 代码和私人消息. 新颖的 Pixnapping 攻击 应该进一步鼓励切换到硬件Token以验证最关键的资源。

• 加密犯罪研究组织 SEAL Org 推出报告潜在网络钓鱼网站的新方法。

• Tornado Cash 用户现在可以通过使用新的 0xbow 黑名单来保持匿名性，而无需“帮助黑客”。

犯罪

• 制裁 150 亿美元的比特币：美国和英国采取有史以来最大的行动，打击东南亚的网络犯罪网络，作者 Slowmist。这次查获行动特别有趣的是，它与 2020 年 Lubian 矿场遭受入侵 有关，这是由于 私钥生成薄弱 造成的。美国政府似乎 在 2024 年从黑客手中获得了被盗资金。

• 诈骗之城的基础设施，作者 Rekt。深入探讨与上述政府行动相关的诈骗场所的运作。

• ZachXBT 破解 Railgun 隐私以揭露 Bittensor 黑客。

• Operation SIMCARTEL：Europol 关闭 GoGetSMS 网络犯罪网络。

• 乌克兰加密货币绑架和殴打事件：三人被拘留。

政策

• KYC All The Things：市场结构正在崩溃吗？

网络钓鱼

• 朝鲜黑客通过开源软件中心瞄准加密货币开发者。

• 朝鲜 IT 工作人员在开源和自由职业平台上，作者 blackbigswan, Heiner (Ketman)。

• GoPlus 的 Discord 被入侵。

恶意软件

• 朝鲜采用 EtherHiding：隐藏在区块链上的国家级恶意软件，作者 Blas Kojusner, Robert Wallace, Joseph Dobson (Mandiant)。

• 新的组织：UNC5142 利用 EtherHiding 来分发恶意软件，作者 Mark Magee, Jose Hernandez, Bavi Sadayappan, Jessa Valdez (Mandiant)。

• `1inch-analysis.app` — 朝鲜的特洛伊木马，作者 pcaversaccio。

• TigerJack 的扩展程序继续在不同的市场上盲目窃取开发者的代码，作者 Tuval Admoni (Koi)。

媒体

• Defcon 33

  • DEF CON 33 - 模糊的界限：朝鲜网络威胁行为者不断演变的策略 - Seongsu Park。

  • DEF CON 33 - 创建自定义 Hashcat 模块来解决一个有十年历史的谜题挑战 - Joseph Gabay.

  • DEF CON 33 - 我的加密货币在哪里，伙计？加密货币洗钱终极指南 - Thomas Roccia.

  • DEF CON 33 - 加密货币诈骗剖析 - Nick Percoco & Kitboga.

  • DEF CON 33 - 加密货币开幕主题演讲 - Michael Schloh MsvB, Chad Calease & Param D Pithadia.

• ETHSofia 2025:

  • Web3 安全的现状，Krum Pashov

  • 在 Web3 安全的多方面世界中蓬勃发展，Bogomil Tsvetkov

  • 传统安全漏洞如何导致数十亿美元的加密货币抢劫，Simeon Nguen

  • Web3 安全的下一个时代

  • 彻底改变机构 DeFi 中的安全性和透明度，Lukasz Muzyka

• 人工智能的盲点：为什么区块链安全尚未解决。由 Hacken 主持，Next Encrypt、NEAR、Quranium 和 SCRT Labs 参与的小组讨论。

• bountyhunt3rz - 第 27 集 - Patrick Collins。

• No Text To Speech - Discord 黑客给我发了私信。

竞赛

• Wintermute Alpha 2025 - 挑战题解，作者 Frodan。

研究

• 我们如何攻破交易所：深入了解身份验证和客户端错误，作者 Bruno Halltari 和 Caue Obici (OtterSec)。

• 如何预览 OpenSea 盲盒的结果，作者 Stragos。哎呀。

• 使用 Honggfuzz Fuzzing Solana 智能合约的实用指南，作者 Zokyo。

• IDL Guesser：从封闭源代码的 Solana 程序中恢复指令布局，作者 Sec3。

• 从 EVM 迁移到 Move 第一部分 和 第二部分，作者 VulSight。

• EIP 7702 安全注意事项，作者 Halborn。

• 区块链应用中常见的密码学风险，作者 SlowMist。

• 收益型稳定币的危险信号和绿色信号，作者 Paweł Kuryłowicz (Composable Security)。

• 破解自动交易所：调查人员和律师指南，作者 Intelligence Onchain。

• AMM 安全深入研究 第一部分 和 第二部分，作者 M3D (Zealynx)。

• YieldBasis 再平衡风险，作者 Pangea。

• 深入研究 Curve Finance：核心机制、安全性及集成见解，作者 M3D (Zealynx)。

• 代码即法律，但供应链才是立法者，作者 Opsek。

• Web3 OpSec 标准 (W3OS)，作者 Audit Wizard .

• Tornado Cash 中存款和取款活动的聚类分析：跨链分析。

• 制裁对去中心化隐私工具的影响：以 Tornado Cash 为例。

• 不可变纸上的有毒墨水：以太坊输入数据消息 (IDM) 的内容审核。

• 通过安全感知组相对策略优化实现安全且可解释的智能合约生成。

• 平衡安全性和流动性：DAO 治理投票的时间加权快照框架。

工具

• Compound 提案解码器。

• 原文链接： newsletter.blockthreat.i...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～