BlockThreat - 2025年第31周周报

BlockThreat
发布于 2025-08-11 08:18
阅读 359

本周关注 Samourai Wallet 和 Tornado Cash 案件审判，以及链运营商对生态系统安全的投资。Multichain Router漏洞导致用户资金被盗，SuperRare staking 合约存在权限检查漏洞。此外，还报道了 LuBian 矿池 2020 年发生的价值 35 亿美元的 BTC 被盗事件，以及 Monero 面临的 51% 攻击威胁。

### 多链 \| SuperRare \| Tornado Cash \| Samourai Wallet \| Monero

焦点仍然集中在 Samourai Wallet 和 Tornado Cash 的审判上，Samourai 的被告认罪，而 Roman Storm 继续为编写代码的自由而战。一种新的趋势正在出现，像 Base 和 Arbitrum 这样的链运营商开始投资于生态系统安全，为在其网络上构建的项目补贴代码审计。本周只有几起妥协事件，都源于粗心的错误，导致攻击者获得了略高于 200 万美元的收益。让我们仔细看看。

![](https://img.learnblockchain.cn/2025/08/11/F1656ecd3-96ae-460e-b8c0-a8245b4fd78d_1904x640.png)

用户在重大漏洞发生后很长时间内仍然会成为攻击的受害者，因为权限撤销经常被忽略。**[2022 年的多链路由器（前身为 AnySwap）漏洞](https://dedaub.com/blog/phantom-functions-and-the-billion-dollar-no-op/)** 允许攻击者绕过预期的权限检查，并从仍然存在未撤销授权的钱包中提取资金，即使在路由器不再活跃的链上也是如此。在最近的一个案例中，一个著名的 MEV 机器人抢先进行了盗窃，并**[无意中挽救了 401 ETH](https://etherscan.io/tx/0x6beb97a06065fe07c97769455b7647e38dc9dd70ac2447126847152518c91b0a)**。有人真的非常幸运！所以请你务必，再三恳求，在 **[revoke.cash](https://revoke.cash/)** 上**[撤销你的授权](https://medium.com/multichainorg/action-required-critical-vulnerability-for-six-tokens-6b3cbd22bfc0)**。

你可能会认为在经历了无数次智能合约灾难之后，像权限检查这样的基本原理应该是万无一失的，但 SuperRare 的 Staking 合约证明并非如此。_updateMerkleRoot_ 功能中的一个简单错误允许任何人劫持关键的 Staking 逻辑并耗尽价值 73 万美元的 RARE 代币：

```
function updateMerkleRoot(bytes32 newRoot) external override {
    if (
        (msg.sender != owner() &&
            msg.sender !=
            address(0xc2F394a45e994bc81EfF678bDE9172e10f7c8ddc))
    ) revert NotAuthorized();
```
攻击者花了大约两周的时间才发现并利用了这个完全可以预防和粗心的漏洞。

让我们深入了解新闻！

### 活动

- **Defcon - [加密货币村](https://www.cryptocurrencyvillage.cc/learn/)**。8 月 8-10 日。以关于钱包、交易所、DeFi 安全的精彩演讲为特色。

### 新闻

- Arkham 揭露了**[2020 年中国矿池 LuBian 发生了一起 35 亿美元的 BTC 黑客攻击事件](https://rekt.news/the-one-that-got-away)**。与传统的热钱包或基础设施 CeFi 妥协不同，这次事件是**[由于弱私钥生成算法引起的](https://www.ccn.com/education/crypto/14-billion-bitcoin-heist-lubian-wallet-flaw-arkham/)**。迟做总比不做好，可以发现并从中学习历史上最大（以美元计算）的加密货币黑客攻击事件。

- **[门罗币面临来自竞争对手区块链 Qubic 的 51% 攻击威胁](https://news.bitcoin.com/monero-faces-looming-51-attack-threat-from-rival-blockchain-qubic/)**。

- **[Samourai Wallet 加密货币混合服务创始人认罪](https://www.justice.gov/usao-sdny/pr/founders-samourai-wallet-cryptocurrency-mixing-service-plead-guilty)**。根据 DoJ 法院文件，这两名开发者积极在暗网论坛和私人聊天中推广该钱包，以隐瞒犯罪收益。

- **[Coinbase 报告称，由于现货交易量和收入在第二季度下降，数据盗窃造成了 3.07 亿美元的损失](https://www.theblock.co/post/365138/coinbase-reports-data-theft-cost-307-million-as-spot-volumes-and-revenue-dip-in-q2)**。

- **[为 Base 构建者推出免费安全审查](https://blog.base.dev/free-security-reviews)**，由 Base 工程团队提供。作为对已经免费的**[Hexagate 监控服务](https://base.mirror.xyz/dbmJkcsc1RPaWyqn7R5vhVJFRWoy1CvmlXeuUwsfTXk)**的补充，可为链上项目提供服务。

- **[Arbitrum 基金会计划分配 1400 万美元的 ARB，以补贴网络项目的安全审计](https://www.theblock.co/post/364348/arbitrum-foundation-10-million-in-arb-subsidize-security-audits)**。

- **[SlowMist 月度安全报告：7 月份估计损失为 1.47 亿美元](https://learnblockchain.cn/article/19585?source=rss-4ceeedda40e8------2)**。

- **[Hacken 2025 半年度 Web3 安全报告](https://hacken.ghost.io/content/files/2025/07/hacken-2025-h1-web3-security-report-1.pdf)**。

- **[2025 年加密货币犯罪年中更新：Chainalysis 报告称，被盗资金激增，DPRK 创下新纪录](https://www.chainalysis.com/blog/2025-crypto-crime-mid-year-update/)**。

- **[违规报告剖析 - 2025](https://143291403.fs1.hubspotusercontent-eu1.net/hubfs/143291403/The%20Anatomy%20of%20a%20Breach_Report%202025-1.pdf)**，由 Lab1 提供。一份有趣的研究报告，研究不良行为者的做法，以关联泄露的凭据、KYC、私钥和其他数据来执行攻击。

- **[2025 GenAI 代码安全报告 - 评估使用 LLM 进行编码的安全性](https://www.veracode.com/wp-content/uploads/2025_GenAI_Code_Security_Report_Final.pdf)**，由 Veracode 提供。只有 55% 的生成代码是安全的。

- **[亚马逊 AI 编码代理被黑客入侵以注入数据擦除命令](https://www.bleepingcomputer.com/news/security/amazon-ai-coding-agent-hacked-to-inject-data-wiping-commands/)**。

### 犯罪

- **[CoinDCX 员工因 4400 万美元的交易所黑客攻击被捕](https://decrypt.co/332903/coindcx-employee-arrested-over-44m-exchange-hack)**。一个有趣的案例研究，其中一名**[员工](https://x.com/CryptooIndia/status/1950773401729012208)**可能因**[疏忽而被捕并被起诉](https://timesofindia.indiatimes.com/city/bengaluru/bengaluru-techie-arrested-in-rs-379-crore-coindcx-crypto-theft-how-hacker-used-his-login-to-siphon-funds-got-call-from-germany/articleshow/123008462.cms)**，即使**[他们无意作恶](https://indianexpress.com/article/cities/bangalore/hackers-installed-malware-bengaluru-crypto-exchange-coindcxs-steal-rs-384-crore-police-10159866/)**。

- **[朝鲜派我出国当一名秘密 IT 工作者。我的工资资助了该政权](https://www.bbc.com/news/articles/c15wk77zxngo)**。来自一名叛逃者的罕见内幕。

- **[朝鲜黑客利用工作诱饵、云帐户访问和恶意软件窃取了数百万美元的加密货币](https://thehackernews.com/2025/07/n-korean-hackers-used-job-lures-cloud.html)**。

- **[Cameron Redman，又名 Canadian，因 2022 年 6 月的大规模 X 帐户泄露事件而被定罪](https://x.com/zachxbt/status/1950273651133034839)**。ZachXBT 参与了导致逮捕的调查。

- **[中本聪雕像从卢加诺的 Parco Ciani 被盗](https://thedefiant.io/news/blockchains/satoshi-nakamoto-statue-stolen-luganos-parco-ciani-74f8c468)**。

- **[南佛罗里达州的加密货币洗钱者寻求涉及截肢的可怕绑架](https://www.local10.com/news/local/2025/07/28/south-florida-crypto-money-launderer-sought-grisly-kidnappings-involving-amputations-fbi/)**。

- **[FBI 从新的 Chaos 勒索软件行动中查获了 240 万美元的比特币](https://www.bleepingcomputer.com/news/security/fbi-seizes-24m-in-bitcoin-from-new-chaos-ransomware-operation/)**。

- **[虚拟加密资产盗窃行为仍然不受惩罚](https://www.heise.de/en/news/Higher-Regional-Court-Virtual-theft-of-crypto-assets-remains-unpunished-10484844.html)**。德国过时的法律框架导致一名窃贼逃脱了 290 万美元的罪行。

- **[塞浦路斯警方调查加密货币盗窃案：电子邮件被黑后，超过 448,000 美元消失](https://news.bitcoin.com/cyprus-police-probe-crypto-heist-over-448000-vanishes-after-email-hack/)**。

### 政策

- **[天才还是噱头](https://rekt.news/genius-or-gimmick)**，由 Rekt 提供。对 GENIUS 法案中不受欢迎的中心化影响的探索。

### 钓鱼

- **[ScamSniffer 2025 年 7 月钓鱼报告](https://x.com/realScamSniffer/status/1951206306410537473)**。损失增加了 153%，达到 709 万美元，受害者增加了 56%（9,143 名受害者）。

- **[诈骗者使用的一种新模式，使受损的钱包完全崩溃，因此你无法使用 EIP-7702 发送任何资金进行救援](https://x.com/pcaversaccio/status/1949059982596481133)**，由 pcaversaccio 提供。

- **[如何保护自己免受 Google 表单诈骗](https://www.kaspersky.com/blog/google-forms-scam/53909/)**，由卡巴斯基提供。

- **[这个假的比特币 ATM 计划浪费了诈骗者 4,000 小时的时间](https://decrypt.co/331845/fake-bitcoin-atm-scheme-wasted-4000-hours-scammers-time)**。Kitboga 再次出击。

- **[Telegram 桌面版中可能存在使用一键 RCE 的定向攻击。](https://x.com/GangExposed_RU/status/1951250579440934939?t)**

### 恶意软件

- **[密封的欺骗链：攻击者利用 Node.JS 发起 JSCeal](https://research.checkpoint.com/2025/jsceal-targets-crypto-apps/)**，由 CheckPoint 提供。从 Facebook 广告到窃取凭据和耗尽钱包的虚假加密货币应用程序。

### 媒体

- **[针对 Tornado Cash 开发者 Roman Storm 的审判：你需要知道的一切](https://www.youtube.com/watch?v=DkX_v1X3SVM)**，由 The Rage 主持，包括 Taylor Monahan、Molly White、Tim Clancy 和 Amanda Tuminelli。

### 研究

- **[Lido 安全披露：CSVerifier 对历史区块 GIndex 的验证较弱。用户资金仍然安全](https://research.lido.fi/t/security-disclosure-post-mortem-csverifier-weak-validation-of-the-historical-block-gindex-user-funds-remain-safe/10466)**。

- **[有人忘记撤销 Multichain Router V4 的授权，导致 MEV 机器人立即黑客攻击了 401 ETH](https://x.com/shoucccc/status/1950310650510791168)**，由 Chaofan Shou 提供。

- **[比特币闪电网络漏洞允许通过 LND 节点远程窃取比特币](https://protos.com/bitcoin-lightning-bug-allows-remote-theft-of-bitcoin-via-lnd-nodes/)**。

- **[使用 Halmos 进行现代不变性测试](https://learnblockchain.cn/article/19584/)**，由 karmacoma 和 Daejun Park (a16z crypto) 提供。

- **[zkFuzz：用于有效模糊测试零知识电路的基础和框架](https://arxiv.org/html/2504.11961v1)**。

- **[SEAL 的安全框架 - 钱包安全](https://frameworks.securityalliance.org/wallet-security/index.html)** 部分，由 Piña (Coinspect) 提供。

- **[Web3 中加密技术的现状](https://safe.global/blog/safe-research-the-state-of-encryption-in-web3)**，由 Safe Research 提供。

- **[使用密钥扫描确保密钥安全](https://docs.github.com/en/code-security/secret-scanning)**，由 Github 提供。

- **[代理红队：AI 越狱对决](https://app.grayswan.ai/arena/blog/agent-red-teaming-the-ai-jailbreak-showdown)**，由 Ayla Croft (Gray Swan) 提供。你可以在**[这里](https://t.co/gkF4PbkWiz)**参与。

- **[“Commit-Reveal²：随机显示顺序减轻了提交显示中最后显示者的攻击”协议在分布式共识应用程序中的实现](https://github.com/ramsyana/commit-reveal)**。

- **[我的智能合约审计思维模型 - 而不是清单！](https://www.calibersec.com/smart-contract-auditing-mental-model/)**，由 The Caliber 提供。

- **[乐观 Rollups](https://www.youtube.com/watch?v=kzC1AQ-O55Y)**。

- **[从 Solana 到 Stylus：推出 StylusPort](https://learnblockchain.cn/article/19583?source=rss----478dbf699709---4)**，由 Oak Security 提供。

- **[Solana 上的压缩 NFT](https://accretion.xyz/blog/compressed-nfts-solana)**，由 0xmahdirostami 提供。

- **[面向 EVM 和 SVM 开发人员的 Sui Move：第 1 部分 - 思维模型](https://www.adevarlabs.com/blog/sui-move-for-evm-and-svm-developers-part-1-mental-models)**，由 Ahmad Khan (Adevar Labs) 提供。

- **[AI 代理智能合约漏洞利用生成](https://arxiv.org/abs/2507.05558)**。

- **[高价值智能合约漏洞的程序分析：技术和见解](https://arxiv.org/abs/2507.20672)**。

- **[“支持区块链的零信任框架，用于保护金融科技生态系统免受内部威胁和网络攻击”](https://arxiv.org/abs/2507.19976)**。

- **[SoK：通过对漏洞的系统文献综述，智能合约现实世界攻击中 10 亿美元损失的根本原因](https://arxiv.org/abs/2507.20175)**。

- **[对“区块链三难困境：对去中心化、安全性和可扩展性之间固有权衡的正式证明”的正式反驳](https://arxiv.org/abs/2507.21111)**。

- **[区块链系统中的 DoS 攻击和防御技术：分层分析](https://arxiv.org/abs/2507.22611)**。

- **[SAEL：利用具有自适应混合专家的大型语言模型进行智能合约漏洞检测](https://arxiv.org/abs/2507.22371)**。

- **[ETrace：通过基于 LLM 的跟踪分析，在智能合约中进行事件驱动的漏洞检测](https://arxiv.org/abs/2506.15790)**。

### 工具

- **[ape-safe](https://github.com/ApeWorX/ape-safe)** - 用于 Ape Framework 的 Safe 多重签名钱包（以前称为 Gnosis Safe）的帐户插件。

- **[Anchor](https://github.com/solana-foundation/anchor)** - 由 Solana Foundation 提供的框架，为编写 Solana 程序提供了一些方便的开发者工具。

- **[推出 Solazy – 一款 Solana 静态分析器和逆向工程工具](https://fuzzinglabs.com/introducing-solazy-tool/)**。

- **[hashcat v7.0.0](https://hashcat.net/forum/thread-13330.html)** 发布，包括对 MetaMask 和各种钱包破解的支持。

- **[使用密钥扫描保证密钥安全 - GitHub 文档](https://docs.github.com/en/code-security/secret-scanning)**。

* * *

喜欢阅读 BlockThreat 吗？**[考虑赞助下一期](https://forms.gle/txRaFt21Qdo1kbMc9)** 或**[成为付费订阅者](https://www.blockthreat.io/subscribe)**，以解锁高级部分，其中包含有关黑客攻击、漏洞、指标、特别报告和可搜索的新闻通讯存档的详细信息。

* * *

>- 原文链接： [newsletter.blockthreat.i...](https://newsletter.blockthreat.io/p/blockthreat-week-31-2025)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

多链 | SuperRare | Tornado Cash | Samourai Wallet | Monero

用户在重大漏洞发生后很长时间内仍然会成为攻击的受害者，因为权限撤销经常被忽略。2022 年的多链路由器（前身为 AnySwap）漏洞 允许攻击者绕过预期的权限检查，并从仍然存在未撤销授权的钱包中提取资金，即使在路由器不再活跃的链上也是如此。在最近的一个案例中，一个著名的 MEV 机器人抢先进行了盗窃，并无意中挽救了 401 ETH。有人真的非常幸运！所以请你务必，再三恳求，在 revoke.cash 上撤销你的授权。

你可能会认为在经历了无数次智能合约灾难之后，像权限检查这样的基本原理应该是万无一失的，但 SuperRare 的 Staking 合约证明并非如此。updateMerkleRoot 功能中的一个简单错误允许任何人劫持关键的 Staking 逻辑并耗尽价值 73 万美元的 RARE 代币：

function updateMerkleRoot(bytes32 newRoot) external override {
    if (
        (msg.sender != owner() &&
            msg.sender !=
            address(0xc2F394a45e994bc81EfF678bDE9172e10f7c8ddc))
    ) revert NotAuthorized();

攻击者花了大约两周的时间才发现并利用了这个完全可以预防和粗心的漏洞。

让我们深入了解新闻！