BlockThreat - 2026年第4周

SagaEVM | Makina | Cosmos | SwapNet | Aperture Finance | HypuurFi

本周发生了八起事件，超过 2800 万美元被盗。 从任意调用漏洞到无限铸币漏洞，对于区块链安全来说，这是特别糟糕的一周。 让我们来分析一下其中几个最值得关注的黑客事件。

HypuurFi、SwapNet 和 Aperture Finance 遭受了任意外部调用漏洞的攻击，一天之内用户损失了大约 1700 万美元。 值得注意的是，后两者没有源代码，并在部署后不久就被利用。 我们早就观察到，攻击者在使用链上漏洞扫描器方面变得越来越老练。 现在，我们看到他们不仅可以检测原始 EVM 代码中的错误，还可以耐心地等待最有利的时机进行攻击，正如我在最近关于 watering hole contracts 的 DSS 演讲中所讨论的那样。

如果你不熟悉这种攻击方式，以下是来自有漏洞的 HypuurFi 合约 的代码片段：

function swapAndDeposit(
    address swapRouter,      // 任意调用地址
    bytes calldata swapData, // 恶意输入
    address vault,
    address tokenIn,
    uint256 amountIn,
    address tokenOut,
    address receiver
) public payable {
    // 执行兑换（代币进入网关）
    if (!_isNativeToken(tokenIn)) {
        IERC20(tokenIn).safeTransferFrom(msg.sender, address(this), amountIn);
        IERC20(tokenIn).safeIncreaseAllowance(swapRouter, amountIn);
    }

    // 漏洞：      v----- 受污染的用户输入  ----v
    (bool success,) = swapRouter.call{value: msg.value}(swapData);
    require(success, "Swap failed");

    // 存入兑换后的代币
    uint256 balance = IERC20(tokenOut).balanceOf(address(this));
    _deposit(vault, tokenOut, balance, receiver);
}

开发人员发现此类错误的最简单方法是将所有用户输入都视为恶意的，并且永远不要在没有任何约束的情况下将其传递给 call() 或等效函数。

很难责怪用户遭受这种攻击，因为他们完全按照我们鼓励的方式使用 DeFi 协议，包括无限额度授权，而没有任何撤销它们的机制。 也许应该由钱包站出来，帮助用户清理这些长期存在的授权，就像我们的密码管理器经常提醒我们更改被盗或弱密码一样。 同时，将 http://revoke.cash 添加到书签，并尝试每季度/每月访问一次。

我们有理由希望这些事件背后的攻击者最终会犯错并迅速受到惩罚。 这迟早会发生在他们所有人身上。 与此同时，请查看本周的赞助商 Anchain.ai 及其背后的好人，他们正在努力追踪不良行为者，并帮助我们的生态系统对我们所有人来说更安全一些。

AI 原生的加密情报数据

AnChain.AI Data 提供机构级的加密货币数据 API 和 MCP，用于 AML、欺诈合规、增长分析等。

200 美元促销代码（截止日期：3 月 27 日）：AINATIVECRYPTODATA

https://www.anchain.ai/data

Cosmos 生态系统以一些最恶心的区块链级别错误而闻名，包括 infinite minting，reentrancy 等。 本周，SagaEVM 成为了此类关键漏洞的受害者。 攻击者利用无限铸币漏洞凭空生成资产，窃取了超过 700 万美元。 尽管该链已停止，但攻击者已将可用流动性桥接出去。

在其他新闻中，一家公司老板的儿子负责管理美国法警署没收的加密资产（包括来自 Bitfinex 黑客攻击的资产），但设法窃取了 4000 万美元。 ZachXBT 在 他泄露了他的钱包 在 Telegram 上之后，能够 锁定犯罪者。

让我们深入了解新闻！

新闻

• “不良行为者”Circle 因让被盗的 300 万美元 USDC 未被冻结而受到抨击。 在 SwapNet 黑客攻击中被盗的资金在攻击者的钱包中停留了超过 8 个小时。

• CertiK 计划以 20 亿美元的估值进行首次公开募股，目标是“首家公开的 web3 网络安全”上市。 这次首次公开募股带来了 该公司过去的一些恶作剧。

• 以太坊基金会组建量子后安全团队，并增加 100 万美元的研究奖金。

• 最大严重程度的 Ni8mare 缺陷影响近 60,000 个 n8n 实例。

• Starknet 的 Paradex 回滚在定价故障触发清算后引发了难题。

• Starknet 链停止。 事件报告 – 2026 年 1 月 5 日。

• Bitrace 2026 年加密犯罪报告。

• Anchain 数字资产风险年度报告 2025。 人工智能驱动的加密货币欺诈的兴起。

犯罪

• ZachXBT 揭露与美国政府查封资金有关的加密货币盗窃网络，作者：TRM。 从美国法警署没收的资产中窃取了超过 4000 万美元，其中包括从 Bitfinex 黑客攻击中追回的资金。

• 加密货币侦探将伊朗的 5 亿美元 USDT 与被盗的 Bybit 资金联系起来。 tanuki42 证实了 通过 Nobitex 转移的 5 亿美元 USDT 确实是朝鲜的。

• 伊朗中央银行已获得价值至少 5 亿美元的美元稳定币，作者：Tom Robinson 博士（Elliptic）。

• 犯罪团伙因涉嫌洗钱 1500 亿韩元的加密货币而被捕。

• 随着民族国家加入，非法加密经济激增。

• 前奥运会单板滑雪运动员 Ryan Wedding 在涉及毒品、暴力和加密货币洗钱的重大跨国犯罪案件中被捕，作者：TRM。

• 根西岛当局没收了与“加密女王”OneCoin 欺诈案有关的 1140 万美元。

• 柬埔寨诈骗团伙自从头目被捕以来面临瓦解。 然而，这些团伙重新出现只是时间问题。

• 法国加密货币税务公司成为 ShinyHunters 勒索企图的目标。 Waltio 的漏洞以及 流氓税务代理 使法国对任何加密货币所有者来说都更加危险。

• 我入侵了一个比特币交易所，获得了 100 亿美元。 这是发生的事情，作者：Ilya Lichtenstein (@cipherstein)。

• Caroline Ellison，前 Alameda 和 FTX 高管，在 14 个月后获释。

政策

• 俄罗斯禁止 WhiteBIT，认为加密货币交易所“不受欢迎”，因为它支持乌克兰。

• Nomad 黑客攻击：加密货币倡导团体抨击 FTC 的“终止开关”提案。

网络钓鱼

• Contagious 访谈：追踪 VS Code Tasks 感染向量，作者：Abstract Security。

• 如何被（朝鲜黑客）诈骗，作者：OZ。

• 威胁行为者扩大对 Microsoft Visual Studio Code 的滥用，作者：Jamf。

恶意软件

• Konni 黑客针对区块链开发人员部署 AI 生成的 PowerShell 后门。

• 一种在野外传播的感染，似乎是与朝鲜相关的模块，发生在瑞士和比利时，作者：Moonlock Lab。

• DeadLock 勒索软件：用于恶意目的的智能合约，作者：Group IB。

• PyPI 包模仿 SymPy 以传播加密货币挖掘恶意软件，作者：Kirill Boychenko (Socket)。

• 从扩展到感染：针对软件开发人员的 Evelyn Stealer 活动的深入分析，作者：Ahmed Mohamed Ibrahim (Trendmicro)。

• SlowMist 标记了针对加密货币种子短语的 Linux Snap Store 攻击。

媒体

• 别被 Rekt 了 - Ep05 与 @nicksdjohnson (ENS) 停机、DNS 攻击、无声的故障点。

• bountyhunt3rz - 第 33 集 - philbugcatcher。

• 青少年犯罪帝国内幕（这是一个价值数十亿美元的盗窃团伙）。

• Stephen Sims - AI 及其在 2026 年对攻击性安全角色的影响。

研究

• 揭示 Aave V3 在 ZKsync 上的一个关键 LLVM 编译器错误，作者：John Toman (Certora)。

• 在 zkSync Lite 中凭空铸造费用，作者：Ehsan。

• 一次审计竞赛中错过的超过 1000 万美元的协议漏洞 – 漏洞撰写，作者：samuraii77。

• 在 DeFi 中正确进行舍入，作者：Josselin Feist

• 如何在 1 年内从 0 成为一名有偿 Web3 审计员，作者：CD Security。

• 永续 DEX 演进的安全中心分析和弹性蓝图，作者：Tanuj Soni (Hacken)。

• Move 智能合约审计清单，作者：Arda Usman (Hacken)。

• Uniswap v4 架构和安全分析：Hook、单例、闪电会计，作者：M3D (Zealynx)。

• 我们发现了一种新的 CPIMP 变体，它可以欺骗 @etherscan 代理检测，作者：Defimon Alerts。

• 新的 evm 字节码反分析技术发布，作者：LCFR。 事实证明，AI 魔术字符串可能很有用。 注入提示怎么样？

• 从零到借贷，作者：Rekt。 一次对之前未公开的 ZeroLend 漏洞的深入研究。

• 漏洞赏金大师班，作者：Wiz。

• 利用 VSCode 内部机制来逃逸容器，作者：matta (The Red Guild)。

• 重构 EVM 字节码 第 1 部分 和 第 2 部分，作者：Fade。

• Certora 形式验证资源，作者：alexzoid。

• 关于使用 LLM 进行漏洞利用生成的工业化时代即将到来，作者：Sean Heelan。

• Awesome AI Security，作者：ottosulin。

• 从交易到漏洞利用：真实的 DeFi 攻击的自动化 PoC 合成。

• 评估智能合约中的漏洞：代码复杂性指标在安全分析中的作用。

• Zer0n：一种 AI 辅助的漏洞发现和区块链支持的完整性框架。

• 关于用于智能合约安全性的 LLM 中的组合泛化：关于重入漏洞的案例研究。

• 检查基于 Transformer 的智能合约漏洞扫描的有效性。

• AI 代理智能合约漏洞利用生成。

• NATLM：利用 LLM 检测 NFT 智能合约中的缺陷。

• UEChecker：通过图分析检测 DApp 中未检查的外部调用漏洞。

• 用于以太坊智能合约中不良随机性 (SWC-120) 漏洞的风险分层基准数据集。

• 在 DeFi 智能合约上实施控制流完整性。

• 以太坊智能合约中的安全漏洞：系统分析。

• USCSA：基于代理的可升级智能合约的进化感知安全分析。

• 基于 AI 的 NFT 智能合约漏洞分析。

• 你信任的是不安全的：揭秘开发人员如何在实践中（错误地）使用可信执行环境。

• 关于基于内存池的交易审计的有效性。

工具

• Google Cloud BigQuery 上的 ENS 社区数据集。

• EVM Chronicle - EVM 存储浏览器。 EVM 存储编年史介绍：重建以太坊基础设施的缺失部分。

• Fuzztools，作者：nethoxa。 交易 模糊测试 器、Noir 模糊测试 器和结构感知 模糊测试 框架。

• Crossbow - 世界首位 AI 安全工程师。 查找和利用漏洞、执行 SOC 操作、取证和威胁情报。

• Eloizer 简介：Solana 程序的静态分析器，作者：Inversive Labs。

• • *

喜欢阅读 BlockThreat？ 考虑赞助下一期 或 成为付费订阅者 以解锁高级版块，其中包含有关黑客攻击、漏洞、指标、特别报告和可搜索的新闻通讯存档的详细信息。

• 原文链接： newsletter.blockthreat.i...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～