BlockThreat - 2025年第50周

BlockThreat
发布于 4小时前
阅读 27

本周多个项目损失近350万美元，出现了三重新兴威胁。ThirdWeb的一个合约漏洞导致用户资金被盗；Ribbon Finance因价格预言机被攻击损失270万美元。此外，React漏洞持续发酵，多个加密网站受感染。文章还涉及加密侦探、USDC隐私版本、Silk Road BTC转移、Do Kwon判刑等多个新闻事件。

本周，八个项目总计被盗近 350 万美元。不幸的是，本周也标志着我在 **[DSS 2025 上的演讲](https://www.youtube.com/watch?v=0S-Au1VEFfM)** 中讨论的所有三种新兴威胁类型的出现。

![](https://img.learnblockchain.cn/2025/12/16/F28a20195-5010-4800-9625-05511e88fba6_1904x640.png)

Watering Hole Contracts（水坑合约）尤其危险，因为它们的目标不是协议本身，而是协议的用户。受害者是之前批准将其资金转移到存在漏洞或已遭入侵合约的用户，这些合约通常早已被遗忘。Jill Gunter 本周遇到的情况就是这样，她对一个 ThirdWeb 合约有一个旧的无限制Token批准，该合约包含近两年前的阴险的 **[msgSender 欺骗漏洞](https://blog.thirdweb.com/vulnerability-report/)**。攻击者耐心地等待具有足够大余额的用户出现，然后利用该漏洞耗尽资金。

尤其不幸的是，Thirdweb 本可以通过禁用有漏洞的合约来防止损失，但似乎忽略了这一步。正如我在演讲中提到的，**[用户应定期审查和撤销不再需要的Token批准](https://revoke.cash/)**。更好的是，他们应该**完全避免无限批准**，因为它存在巨大的安全风险。

说到预测的威胁，本周又有一个遗留合约遭到攻击。Ribbon Finance 在攻击者成功伪造对其价格预言机馈送的更新后，损失了 270 万美元。这是一个微妙而复杂的漏洞利用，象征着新一代攻击者专门揭露隐藏在旧代码库中的深层漏洞。

如果我们无法重新审计每个遗留项目，那么至少我们应该应用能够根据最新的攻击模式分析旧代码库的现代工具。本周的赞助商 **Ackee** 正是使用 Wake Arena 构建了这样的工具，旨在查找深层且难以发现漏洞。请务必查看一下！

* * *

![](https://img.learnblockchain.cn/2025/12/16/40361818_image.jpg)

Wake Arena 在对历史审计竞赛的基准测试中，识别出了 94 个高危漏洞中的 43 个。在 2025 年 11 月对 Lido、Printr 和 Everstake 进行的 3 次 Ackee 生产审计中，它发现了所有发现的 79 个中的 26 个（33%），包括 Printr 中 10 个关键发现中的 5 个（50%）和 6 个独特的漏洞。阅读**[完整报告](https://img.learnblockchain.cn/2025/12/16/40361818_image.jpg)**。

* * *

让我们深入了解一下新闻！

### 新闻

- **[在 React2Shell 之后审计协议时，发现了两个新的 RSC 协议漏洞（一个高危，一个中危）](https://nextjs.org/blog/security-update-2025-12-11)。** 大规模的 React 烂摊子还在继续。根据 Security Alliance 的说法，drainer 已经在 **[感染合法的加密网站](https://x.com/_seal_org/status/1999953423672971318)** 上大赚了一笔。请立即更新！

- **[认识一下比警察更能打击犯罪的链上加密侦探](https://cointelegraph.com/magazine/meet-crypto-sleuths-fighting-crime-better-than-the-cops/)**。

- **[Circle 在 Aleo 上测试了具有隐私保护功能的 USDC 封装版本](https://www.theblock.co/post/381934/circle-tests-privacy-preserving-wrapped-version-usdc-aleo)**。

- **[谁转移了 Silk Road 的 300 万美元 BTC？休眠地址恢复生机](https://protos.com/who-moved-3m-in-silk-road-btc-dormant-addresses-spring-back-to-life/)**。

- **[Fusaka 主网 Prysm 事件](https://prysm.offchainlabs.com/docs/misc/mainnet-postmortems/#fusaka-mainnet-prysm-incident)。** 错过区块使验证者损失了 100 万美元。

- **[Jupiter 高管承认，在对其金库设计的强烈反对之后，“零传染”的说法“并非 100% 正确”](https://www.theblock.co/post/381602/jupiter-exec-acknowledges-zero-contagion-claim-was-not-100-correct-after-backlash-over-vault-design)**。

### 犯罪

- **[Crypto-crasher Do Kwon 因 400 亿美元的 UST 破产案被判入狱 15 年](https://www.theregister.com/2025/12/12/do_kwon_sentenced/)**。

- **[Paxful 认罪，美国司法部处以 400 万美元的刑事处罚](https://news.bitcoin.com/paxful-pleads-guilty-as-doj-imposes-4-million-criminal-penalty/)**。

- **[第九名被告在 2.63 亿美元的加密社交工程计划中认罪](https://decrypt.co/351576/ninth-defendant-pleads-guilty-263m-crypto-scheme)**。

- **[西班牙警方捣毁了一个与加密“扳手攻击”谋杀案有关的团伙](https://decrypt.co/351996/spanish-police-dismantle-network-linked-to-crypto-wrench-attack-murder)**。

- **[“比特币罗德尼”面临数十年监禁，因为联邦调查局对 HyperFund 的指控增加了电信欺诈罪](https://www.theblock.co/post/382450/bitcoin-rodney-faces-decades-in-prison-as-feds-add-wire-fraud-to-hyperfund-charges)**。

- **[超越恶意软件：朝鲜威胁行动者的数字帝国内幕](https://flashpoint.io/blog/beyond-the-malware-digital-empire-north-korean-threat-actor/)**，作者：Flashpoint。

- **[7 名嫌疑人在尔湾入室抢劫加密货币案中被捕](https://www.ocregister.com/2025/12/09/7-suspects-arrested-in-irvine-home-invasion-robbery-targeting-cryptocurrency/)**。

- **[我研究了数百起加密货币绑架和抢劫案，以下是如何保持安全](https://x.com/beausecurity/status/1995487124544491784)**，作者：Beau。

### 政策

- **[关于交易和市场部门关于 DTC 开发证券代币化服务的无异议函的声明](https://www.sec.gov/newsroom/speeches-statements/peirce-121125-tokenization-trending-statement-division-trading-markets-no-action-letter-related-dtcs-development)**，作者：SEC。

### 网络钓鱼

- **[币安联合 CEO 何一的微信账号被盗，用于推广 memecoin 并从中获利](https://www.theblock.co/post/382045/binance-co-ceo-yi-he-wechat-hacked-to-promote-memecoin)**。

- **[根据 Cyvers 的说法，BNBChain 上的一个钱包被盗了 70 万美元](https://x.com/CyversAlerts/status/1999831013036380485)**。

- **[VectorBits 报告称，Limewire 上正在进行 drainer 网络钓鱼攻击](https://x.com/vectorbits/status/1999680803060744237)**。

- **[通过电话被捕：](https://www.bloomberg.com/latest/arrested-by-phone?itm_source=record&itm_campaign=Arrested_by_Phone&itm_content=title) [印度的数字噩梦](https://www.bloomberg.com/features/2025-india-digital-scams/?itm_source=record&itm_campaign=Arrested_by_Phone&itm_content=India%E2%80%99s_Digital_Nightmare-0)**，作者：Bloomberg。一本关于一种非常常见的骗局的图像小说。

### 恶意软件

- **[信息窃取者已进入聊天室](https://www.kaspersky.co.uk/blog/share-chatgpt-chat-clickfix-macos-amos-infostealer/29796/)**，作者：Kaspersky。新一波 ClickFix 攻击将恶意命令注入到流行的 LLM 聊天客户端中。

### 媒体

- **[The Contest Academy - 指导系列](https://www.youtube.com/playlist?list=PLGcGtxi4BeU-aSY6n6cTkI0-5GmAeoTT2)**，作者：0xSimao。**[The Contest Academy](https://www.0xsimao.com/the-contest-academy)** 是一系列深入探讨竞赛中报酬最高的错误，包括方法论、工具和工作流程的视频。

- **[2026 年的 34 个审计技巧](https://www.youtube.com/watch?v=NGZ-MmLp1o8)**，作者：Alex the Entreprenerd。

- **bountyhunt3rz - [第 32 集 - windhustler](https://www.youtube.com/watch?v=YvOzgTw2X1Y)**。

- **[走进洗钱店：与 ICIJ 记者进行的现场对话和问答](https://www.youtube.com/watch?v=hUH0n7FVMO8)。**

### 竞赛

- **[Dev Cave CTF](https://bp25.osec.io/)**，在 Breakpoint 2025 举行。

- **[Web3 安全 CTF](https://github.com/x0t0wt1w/WEB3-SECURITY-CTF)**，作者：x0t0wt1w。一个精心策划的、包含故意存在漏洞的智能合约的集合，旨在教授和实践真实的 Web3 安全。

- **[通过解决 CTF 挑战来学习 Huff](https://themj0ln1r.github.io/writings/learn-huff-with-ctf/)**，作者：themj0ln1r。

### 研究

- **[事后分析：预编译](https://build.avax.network/blog/delegatecall-incident#post-mortem-the-precompile-delegatecall-incident-and-granite-resolution)** **`delegatecall` [事件和 Granite 解决方案](https://build.avax.network/blog/delegatecall-incident#post-mortem-the-precompile-delegatecall-incident-and-granite-resolution)**，作者：Avalanche。注意那些链式预编译。

- **[Advent of Bugs 2025](https://x.com/accretion_xyz/status/1995190604939358350)**，作者：Accretion。一系列 24 个 X 帖子，涵盖 Solana 的错误，包括：**[PDA 模拟](https://x.com/accretion_xyz/status/1995546959260910011)**、**[LaunchPool 时序问题](https://x.com/accretion_xyz/status/1995916134550536514)**、**[可选帐户、意图和状态机](https://x.com/accretion_xyz/status/1996309943184445616)** 以及许多其他内容。

- **[区块链桥安全 - 第 4 部分：链 ID 欺骗和哈希冲突](https://learnblockchain.cn/article/22258/)**，作者：Caliber。

- **[审计 Solana Anchor 约束](https://blog.decurity.io/auditing-solana-anchor-constraints-21e8543a51f3?source=rss----557c580f0021---4)**，作者：Alexey Posikera (Decurity)。

- **[逆向工程 EVM 存储](https://wavey.info/posts/2025/reverse-engineering-evm-storage/)**，作者：Wavey。

- **[提高漏洞赏金不会阻止黑客攻击](https://samczsun.com/higher-bug-bounties-wont-stop-hacks/)**，作者：samczsun。

- **[先解释，后信任：用于基于图的加密异常检测的 LLM 增强解释](https://arxiv.org/abs/2506.14933)**。

- **[从预言机选择到预言机锁定：关于区块链预言机供应商选择的探索性研究](https://arxiv.org/abs/2512.03088)**。

- **[CKG-LLM：基于知识图谱的 LLM 辅助智能合约访问控制漏洞检测](https://arxiv.org/abs/2512.06846)**。

- **[一种基于 EVM 操作码特征的用于检测恶意智能合约的可解释 AI 模型](https://arxiv.org/abs/2512.08782)**。

- **[USCSA：基于代理的可升级智能合约的演化感知安全分析](https://arxiv.org/abs/2512.08372)**。

- **[BugSweeper：使用图神经网络进行智能合约漏洞的功能级检测](https://arxiv.org/abs/2512.09385)**。

- **[用于加密劫持检测的常见浏览器扩展的性能分析](https://arxiv.org/abs/2509.02083)**。

### 工具

- **[Tornado Cash 提款查看器](https://github.com/IOCOfficial/Tornado-Cash-Withdrawal-Viewer)**，作者：IOCOfficial。使用 Etherscan API 分析从 Tornado Cash ETH 池的提款。查看所有三个 ETH 池的提款计数、总额和日期范围的接收者地址。

- **[Slotscan](https://slotscan.info/)**。人类可读的存储查看器。

* * *

喜欢阅读 BlockThreat 吗？**[考虑赞助下一版](https://forms.gle/txRaFt21Qdo1kbMc9)** 或 **[成为付费订阅者](https://www.blockthreat.io/subscribe)** 以解锁高级部分，其中包含有关黑客攻击、漏洞、指标、特别报告和可搜索的新闻通讯档案的详细信息。

* * *

>- 原文链接： [newsletter.blockthreat.i...](https://newsletter.blockthreat.io/p/blockthreat-week-50-2025)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

ThirdWeb | Ribbon Finance | 0G Labs | DMi | HTC | React

本周，八个项目总计被盗近 350 万美元。不幸的是，本周也标志着我在 DSS 2025 上的演讲 中讨论的所有三种新兴威胁类型的出现。

Watering Hole Contracts（水坑合约）尤其危险，因为它们的目标不是协议本身，而是协议的用户。受害者是之前批准将其资金转移到存在漏洞或已遭入侵合约的用户，这些合约通常早已被遗忘。Jill Gunter 本周遇到的情况就是这样，她对一个 ThirdWeb 合约有一个旧的无限制Token批准，该合约包含近两年前的阴险的 msgSender 欺骗漏洞。攻击者耐心地等待具有足够大余额的用户出现，然后利用该漏洞耗尽资金。

尤其不幸的是，Thirdweb 本可以通过禁用有漏洞的合约来防止损失，但似乎忽略了这一步。正如我在演讲中提到的，用户应定期审查和撤销不再需要的Token批准。更好的是，他们应该完全避免无限批准，因为它存在巨大的安全风险。

如果我们无法重新审计每个遗留项目，那么至少我们应该应用能够根据最新的攻击模式分析旧代码库的现代工具。本周的赞助商 Ackee 正是使用 Wake Arena 构建了这样的工具，旨在查找深层且难以发现漏洞。请务必查看一下！

Wake Arena 在对历史审计竞赛的基准测试中，识别出了 94 个高危漏洞中的 43 个。在 2025 年 11 月对 Lido、Printr 和 Everstake 进行的 3 次 Ackee 生产审计中，它发现了所有发现的 79 个中的 26 个（33%），包括 Printr 中 10 个关键发现中的 5 个（50%）和 6 个独特的漏洞。阅读完整报告。

让我们深入了解一下新闻！

恶意软件

信息窃取者已进入聊天室，作者：Kaspersky。新一波 ClickFix 攻击将恶意命令注入到流行的 LLM 聊天客户端中。

媒体

The Contest Academy - 指导系列，作者：0xSimao。The Contest Academy 是一系列深入探讨竞赛中报酬最高的错误，包括方法论、工具和工作流程的视频。
2026 年的 34 个审计技巧，作者：Alex the Entreprenerd。
bountyhunt3rz - 第 32 集 - windhustler。
走进洗钱店：与 ICIJ 记者进行的现场对话和问答。

竞赛

Dev Cave CTF，在 Breakpoint 2025 举行。
Web3 安全 CTF，作者：x0t0wt1w。一个精心策划的、包含故意存在漏洞的智能合约的集合，旨在教授和实践真实的 Web3 安全。
通过解决 CTF 挑战来学习 Huff，作者：themj0ln1r。

研究

事后分析：预编译 delegatecall 事件和 Granite 解决方案，作者：Avalanche。注意那些链式预编译。
Advent of Bugs 2025，作者：Accretion。一系列 24 个 X 帖子，涵盖 Solana 的错误，包括：PDA 模拟、LaunchPool 时序问题、可选帐户、意图和状态机 以及许多其他内容。
区块链桥安全 - 第 4 部分：链 ID 欺骗和哈希冲突，作者：Caliber。
审计 Solana Anchor 约束，作者：Alexey Posikera (Decurity)。
逆向工程 EVM 存储，作者：Wavey。
提高漏洞赏金不会阻止黑客攻击，作者：samczsun。
先解释，后信任：用于基于图的加密异常检测的 LLM 增强解释。
从预言机选择到预言机锁定：关于区块链预言机供应商选择的探索性研究。
CKG-LLM：基于知识图谱的 LLM 辅助智能合约访问控制漏洞检测。
一种基于 EVM 操作码特征的用于检测恶意智能合约的可解释 AI 模型。
USCSA：基于代理的可升级智能合约的演化感知安全分析。
BugSweeper：使用图神经网络进行智能合约漏洞的功能级检测。
用于加密劫持检测的常见浏览器扩展的性能分析。

工具

Tornado Cash 提款查看器，作者：IOCOfficial。使用 Etherscan API 分析从 Tornado Cash ETH 池的提款。查看所有三个 ETH 池的提款计数、总额和日期范围的接收者地址。
Slotscan。人类可读的存储查看器。
- *

喜欢阅读 BlockThreat 吗？考虑赞助下一版 或 成为付费订阅者 以解锁高级部分，其中包含有关黑客攻击、漏洞、指标、特别报告和可搜索的新闻通讯档案的详细信息。

原文链接： newsletter.blockthreat.i...

登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。

BlockThreat - 2025年第50周

ThirdWeb | Ribbon Finance | 0G Labs | DMi | HTC | React

新闻

犯罪

政策

网络钓鱼

恶意软件

媒体

竞赛

研究

工具

0 条评论

文章目录