区块威胁 - 2025年第46周

BlockThreat
发布于 3小时前
阅读 36

本周加密货币领域相对平静，主要关注了三个漏洞，导致损失65.7万美元。内容涵盖了卡尔达诺巨鲸交易失误、X登录故障、区块链冻结能力调查、AI驱动的网络间谍活动。此外，还涉及比特币盗窃案、美国制裁朝鲜加密货币洗钱网络、以及针对加密货币开发者的网络钓鱼活动，并分析了恶意NPM包和虚假Chrome扩展程序的威胁。

相对平静的一周，只有三起漏洞利用事件，导致了 65.7 万美元的损失。在 DeFi 安全峰会 (DSS) 会议周之前，这是一个赶上研究和播客的好时机，我将在下一期中进行报道。

![](https://img.learnblockchain.cn/2025/12/06/F49af3390-8767-4f2b-b39e-d616e12595d8_1904x640.png)

让我们深入了解新闻！

### 新闻

- [“手误”失败？Cardano 巨鲸在冲击流动性不足的 USDA 池后损失了 600 万美元](https://www.coindesk.com/markets/2025/11/17/fat-finger-fail-cardano-whale-torches-usd6m-after-hitting-illiquid-usda-pool).

- [X 登录中断：安全密钥切换到 X.com 导致用户被锁定，因为 Twitter.com 最终消亡](https://www.bez-kabli.pl/news/x-login-outage-security-key-switch-to-x-com-locks-out-users-as-twitter-com-finally-dies-november-13-2025/).

- [区块链冻结曝光](https://assets.contentstack.io/v3/assets/bltffdbacf2f22e15fa/bltda1597363a4f2a2b/69144b86424c333a34bc9fa8/2509-T68340_Security_Report_1111.pdf)，Bybit 出品。对具有冻结和列入黑名单功能的链的精彩调查。

- [破坏首次报道的 AI 编排的网络间谍活动](https://www.anthropic.com/news/disrupting-AI-espionage)，Anthropic 出品。

### 犯罪

- [一场疯狂的比特币抢劫案内部：五星级酒店、装满现金的信封和消失的资金](https://archive.ph/6I51N)，作者：Joel Khalili (Wired)。

- [中国指责美国窃取价值 130 亿美元的 127,426 个比特币](https://bitcoinmagazine.com/news/china-accuses-us-of-stealing-bitcoin)。

- [美国司法部追查朝鲜的非法印钞机，查获更多加密货币](https://www.coindesk.com/policy/2025/11/14/u-s-doj-pursues-north-korea-s-illicit-money-machine-seizes-more-crypto)。

- [美国制裁朝鲜加密货币洗钱网络：多家银行员工和金融机构受到影响](https://learnblockchain.cn/article/22146).

- [迪拜法院冻结了与孙宇晨对 TrueUSD 发行方 Techteryx 的救助相关的 4.56 亿美元](https://www.coindesk.com/policy/2025/11/12/dubai-court-freezes-usd456m-linked-to-justin-sun-s-bailout-of-trueusd-issuer-techteryx)。

- [泰国-FBI 行动从涉嫌欧洲黑客手中追回 432,000 美元的加密货币](https://decrypt.co/348500/thai-fbi-operation-recovers-432000-in-crypto-from-alleged-european-hacker)。

- [澳大利亚警告称，犯罪分子正在滥用国家网络犯罪平台来耗尽加密货币钱包](https://decrypt.co/348435/australia-criminals-abusing-national-cybercrime-drain-crypto-wallets)。

- [诈骗者冒充澳大利亚警察窃取加密货币，当局警告](https://cointelegraph.com/news/australia-police-impersonation-crypto-scam)。

- [“比特币女王”因 73 亿美元的比特币诈骗案被判处 11 年监禁](https://www.bleepingcomputer.com/news/security/bitcoin-queen-gets-11-years-in-prison-for-73-billion-bitcoin-scam/)。

### 钓鱼

- [朝鲜“传染性面试”BestCity 活动通过虚假招聘测试针对加密货币开发者](https://www.zeroshadow.io/post/dprk-contagious-interview-bestcity-campaign-targets-crypto-developers-via-fake-recruitment-test)，zeroShadow 出品。

- [传染性面试参与者现在利用 JSON 存储服务来传递恶意软件](https://blog.nviso.eu/2025/11/13/contagious-interview-actors-now-utilize-json-storage-services-for-malware-delivery/)，NVISO Labs 出品。

- [糟糕的 opsec：关于糟糕的 opsec 的链接集合](https://github.com/jermanuts/bad-opsec)，jermanuts 出品。许多关于链上和链下调查导致真实身份的故事。

- [我检查了最糟糕的 OpSec 实践，所以你不必这样做](https://learnblockchain.cn/article/22148)，OfficerCia 出品。更多糟糕的 opsec 故事和后果。

- [报告称，攻击者滥用 Polymarket 的评论区进行诈骗活动，导致损失超过 500,000 美元](https://x.com/25usdc/status/1987948736228511992)，25usdc 出品。

### 恶意软件

- [“IndonesianFoods”垃圾邮件活动发布了超过 86,000 个恶意 NPM 包](https://sourcecodered.com/indonesianfoods-npm-worm/)，Paul McCarty (SourceCodeRed) 出品。

- [虚假的 Chrome 扩展程序“Safery”使用 Sui 区块链窃取以太坊钱包助记词](https://thehackernews.com/2025/11/fake-chrome-extension-safery-steals.html)。

### 诈骗

- [调查 BTX\_Capital 及其创始人 Vanessa Cao 如何操纵 Hyperliquid 上的 $POPCAT 等代币](https://x.com/SpecterAnalyst/status/1989041262511497256)，Specter 出品。

### 媒体

- [Immunefi Show Ep. 2：在以太坊上保护万亿美元需要什么](https://www.youtube.com/watch?v=z2IxnrHmSco)，嘉宾：Mehdi Zerouali 和 Zach Obront。

- Rekt - [不要被 Rekt - ep03](https://x.com/RektHQ/status/1988627009598050335)，嘉宾：Nethermind Security。

- [Web3 漏洞研究与 Glider \| 需要避免的查询错误](https://www.youtube.com/watch?v=y5c_YN14vyw)，Jason aka thank\_you (Remedy) 出品。

- [了解 DeFi 风险管理者的风险业务](https://www.youtube.com/watch?v=RO8qHqmx-vs)，Ruca 和 Giel 出品。

- Trust X Online - [面向初学者的安全研究模糊测试](https://x.com/getreconxyz/status/1988174062762553673)，Alex the Entreprenerd (Recon) 出品。

### 研究

- [如何使用 OSInt 查找诈骗者！](https://intelligenceonchain.com/news/f/how-to-find-scammers-using-osint)，Intelligence on Chain 出品。

- [区块链互操作性第 1 部分：互操作性问题和桥](https://learnblockchain.cn/article/22152)，themj0ln1r 出品。

- [Web3 安全公开课：入门基础课程](https://openbuild.xyz/learn/courses/1083007677)，OpenBuild 为中文使用者准备。

- [多智能体 AI 如何捕获审计遗漏的 80% 的黑客攻击](https://web3secnews.substack.com/p/how-multi-agent-ai-is-catching-the)，Chirag Agrawal (Web3Sec) 出品。

- [利用 VSCode 内部机制逃离容器](https://blog.theredguild.org/leveraging-vscode-internals-to-escape-containers/)，matta (The Red Guild) 出品。

- [威胁情报：NOFX AI 自动交易漏洞分析](https://learnblockchain.cn/article/22149?source=rss-4ceeedda40e8------2)，SlowMist 出品。

- [Uniswap v4 Hooks 安全深度剖析：漏洞和分析](https://learnblockchain.cn/article/21879)，Giovanni Di Siena (Cyfrin) 出品。

- [配置密码管理器时最常见的错误](https://blog.opsek.io/common-mistakes-configuring-password-managers/)，Pablo Sabbatella (Opsek) 出品。

- [LockBit 内部：勒索软件帝国的技术、行为和财务剖析](https://arxiv.org/abs/2511.06429)。

- [一个签名，多个付款：揭秘和检测智能合约中的签名重放漏洞](https://arxiv.org/abs/2511.09134)。

- [以攻击为中心的设计：智能合约漏洞的程序结构分类法](https://arxiv.org/abs/2511.09051)。

### 工具

- [使用 Slither-MCP 提升你的 Solidity LLM 工具](https://learnblockchain.cn/article/22147/)。

* * *

>- 原文链接： [newsletter.blockthreat.i...](https://newsletter.blockthreat.io/p/blockthreat-week-46-2025)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

让我们深入了解新闻！

新闻

“手误”失败？Cardano 巨鲸在冲击流动性不足的 USDA 池后损失了 600 万美元.
X 登录中断：安全密钥切换到 X.com 导致用户被锁定，因为 Twitter.com 最终消亡.
区块链冻结曝光，Bybit 出品。对具有冻结和列入黑名单功能的链的精彩调查。
破坏首次报道的 AI 编排的网络间谍活动，Anthropic 出品。

犯罪

工具

原文链接： newsletter.blockthreat.i...

登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。

区块威胁 - 2025年第46周

新闻

犯罪

钓鱼

恶意软件

诈骗

媒体

研究

工具

0 条评论

文章目录