BlockThreat 周报 - 2025年第30周

本周发生了三起盗窃事件，损失超过 1500 万美元，其中大部分损失源于 Woo X 交易所被入侵。 这标志着过去两周内第三个 CeFi 平台遭到破坏，总损失达到 8520 万美元。 与前两次事件一样，私钥没有暴露。 攻击者转而控制了交易所的基础设施，从而能够从九个巨鲸账户中提取资金。

针对 Roman Storm 的 Tornado Cash 审判正在演变成一场闹剧，建立在有缺陷的区块链追踪和对去中心化不可变智能合约如何运作的根本误解之上。 检察官歪曲了资产流动，无视了 Storm 一旦部署协议就无法控制的事实，并继续操纵指控，显然是为了确保无论事实或更广泛的后果如何，都能获得定罪。 Storm 也在没有定罪的情况下被剥夺了经济来源，实际上是在审判前受到了惩罚。 希望法庭能看穿这场闹剧，并结束这场被误导的起诉。

让我们深入了解一下新闻！

新闻

• Clorox 在 3.8 亿美元的网络攻击诉讼中表示，黑客愚弄了 Cognizant 帮助台。 当你依赖第三方为你提供内部或外部基础设施支持时，如果他们的安全级别与你不同，请不要感到惊讶。

• 联邦调查局放弃对 Kraken 创始人的调查，归还数十台被扣押的设备。

• 追踪错误和误判呼吁动摇了 Roman Storm 审判。

• Hacken 2025 年上半年 Web3 安全报告。

• 消失的很快：洗钱时机报告 - 2025 年上半年，作者：Global Ledger。

犯罪

• Hacker Com：社群 (Com) 的网络犯罪子集是对在线青年的日益增长的威胁，作者：FBI。

• 帮助朝鲜渗透的美国妇女被判处 8.5 年监禁。

• 团伙绑架了理发师，误以为他是加密货币亿万富翁。

• 曼哈顿法院批准比特币酷刑嫌疑人保释。

• 第九巡回法院裁定，NFT 有资格获得商标保护，并将 Yuga Labs 案件发回重审。

• 研究人员表示，俄罗斯正在转向吉尔吉斯斯坦蓬勃发展的加密货币行业以逃避制裁。

网络钓鱼

• 僵尸 dApp：被废弃的 Web3 站点被恢复为钱包耗尽器，作者：Coinspect。

• 签名陷阱：为什么钱包用户体验未能满足 Web3 用户需求，作者：Immune Bytes。

• 停止使用 Google 搜索加密货币站点，除非你喜欢用你的钱包玩俄罗斯轮盘赌！，作者：Scam Sniffer。

• 谨防带有加密货币礼品的 Google 表单，作者：Kaspersky。

• PoisonSeed 绕过 FIDO 密钥来“获取”用户帐户，作者：Expel。

诈骗

• CASPER：具有更多负样本的智能庞氏骗局检测器的对比方法。

• 对 @cryptobeastreal 如何通过谎称他们不在 $ALT 市值崩溃背后来诈骗关注者的调查，作者：ZachXBT。

恶意软件

• 威胁情报：恶意 Solana 开源交易机器人分析，作者：Joker & Thinking (SlowMist)。

• Soco404 和 Koske 恶意软件通过跨平台加密货币挖掘攻击瞄准云服务。

媒体

• 解码 2025 年最大的 Web3 黑客攻击：经验教训和趋势，由 QuillAudits 主办。

• ETH 贝尔格莱德 2025

  • 在主网之前保护 Ethereum Pectra - Zigtur | Spearbit & Cantina

  • 基于 Passkey 的智能账户的承诺和局限性 - Sergey Potekhin | Pimlico.

  • 我们如何构建本地跨链模拟器 - Andrej Rakic | Chainlink.

  • [执法部门处理数字资产的方法 - Michael Halepas | BlockAML](https://www.youtube.com/watch?v=SVB7kAWrOKk).**

  • 模糊测试 Liquity — Alex The Entreprenerd | Recon.

  • 用键盘杀戮——如何将你的数字足迹武器化——Noah Jelich.

  • 如何通过设计确保安全而不花费数百万美元？— Damian Rusinek | Composable Security.

  • 不要被 rekt：检测加密货币中的网络钓鱼威胁 - tincho | The Red Guild.

  • 通货膨胀攻击：ERC-4626 的深入研究 - Cupojoseph | Nerite.org.

  • Solidity 开发的 Python 工具的现状 - Michal Převrátil | Ackee Blockchain Security.

  • Solidity 内部结构 - Raoul Schaffranek | Runtime Verification,

研究

• 区块链取证：追踪被盗资金的实用指南，作者：SomaXBT。

• 可升级智能合约解释 (2025)：第 1 部分 - Solidity 中的代理和 UUPS 模式，作者：Three Sigma。

• 可升级智能合约系列：第 2 部分 - 顶级智能合约漏洞和现实世界黑客攻击，作者：Three Sigma。

• 可升级智能合约系列：第 3 部分 - Solidity 中安全的 UUPS 和透明代理，作者：Three Sigma。

• 用于漏洞研究的 LLM 代理基准测试，作者：Yacine Souam (Fuzzing Labs)。

• 为什么在漏洞赏金狩猎中维护链上隐私很重要，作者：Thomas EDET。

• BinaryMerkleRoot 电路中约束不足的错误（在 v2.0.0 中修复），作者：ZK-Kit 团队。

• 适用于 EVM 和 SVM 开发人员的 Sui Move：第 1 部分 - 心理模型，作者：Ahmad Khan (Nirlin) from Adevar Labs。

• Cantina × Ethereum：200 万美元的 Pectra 安全竞赛。 一系列报告，包括 EIP-2537 中链拆分关键的详细信息。

• 攻击者使用 EIP-7702 智能钱包来混淆区块浏览器中的漏洞利用，Tikkala Security 的帖子。

• DePIN 安全最佳实践，作者：Paul (Spearbit)。

• 如何跟踪你作为安全研究人员的进展，作者：Kris Renzo。

• 家庭中的法学硕士：成为一个自托管的极客，作者：Daniel Luca。

• 通过 DKIM 重放攻击欺骗 Google：技术分解，Gerasim Hovhannisyan (EasyDMARC) 的完整复制更新。

• CryptoNeo 威胁建模框架 (CNTMF)：保护集成区块链生态系统中的 Neobanks 和金融科技。

• 网络安全中的大型语言模型：应用、漏洞和防御技术。

• 空投：赠送钱比看起来更难。

• ACFIX：使用挖掘的常见 RBAC 实践指导法学硕士，以实现智能合约中访问控制漏洞的上下文感知修复。

• 沼泽地上的对冲基金：分析区块链桥梁中的模式、漏洞和防御措施。

• 理解区块链治理：分析去中心化投票以修改 DeFi 智能合约。

• 测量 CEX-DEX 提取价值和搜索者盈利能力：MEV 黑暗森林中最黑暗的部分。

• 用于检测以太坊智能合约中交易冲突的静态分析。

• 非 Solidity 审计竞赛，作者：Meowing。

工具

• Oracle Drift，作者：Recon。 给定两个预言机的价格及其偏差阈值，此工具将计算价格源在触发更新之前可以达到的最大理论值。

• Wise Signer Snap，作者：Patrick Collins。 一个 MetaMask Snap，它使用 Claude AI 以简洁的英语解释区块链交易，帮助用户在签署之前了解他们签署的内容。

• 最近的智能合约，作者：gegul。 一个有用的工具，用于在 EVM 链上最近部署的智能合约中寻找漏洞。

• • *

喜欢阅读 BlockThreat 吗？考虑赞助下一期 或 成为付费订阅者，以解锁包含黑客攻击、漏洞、指标、特别报告和可搜索的新闻通讯档案的详细信息的优质版块。

• 原文链接： newsletter.blockthreat.i...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～