区块威胁 - 2025年第49周

本周发生了四起事件，损失近 1100 万美元。大部分损失来自 Yearn Finance 的攻击，攻击者利用整数下溢盗取了 900 万美元。关键的教训是，这又是另一个多年未进行审计的遗留代码库，其中包含数学逻辑上的深度漏洞。正如我在最近的演讲中提到的那样，这正在成为对许多协议以及依赖于它们的更广泛生态系统的真正威胁。简单地隔离或降低这些代码库的风险并不总是可行的，因此，实际的前进道路可能需要使用现代工具、改进的技术以及在编写这些代码时根本不存在的经验丰富的审计员重新审计它们。

本周的另一起事件涉及我在同一次 DSS 演讲中重点介绍的攻击类型。USDP 初始化劫持允许攻击者插入恶意后门，导致一百万美元的盗窃。攻击者在放置这些后门的方式上变得越来越复杂，这为未来的 watering hall 合约场景创造了理想的条件。

就在我们从两次大规模的供应链攻击中得到喘息之际，web2 世界再次提醒我们它的脆弱性。大规模 React 妥协是近年来最严重的利用活动之一。请立即修补你的实例！

让我们深入了解新闻！

新闻

• 谁拥有安全？ - 一份拥有内部安全团队的区块链公司名单。你不能完全外包安全性，内部所有权是长期成功的关键。

• CVE-2025-55182：React2Shell 分析、概念验证混乱和野外利用。 React 中易于利用的漏洞导致数千台受感染的主机运行加密货币矿工。

• 2025 年 12 月 5 日 Cloudflare 中断。 又一周，又一次 Cloudflare 中断，导致主要钱包和交易所瘫痪。

• Ledger 研究人员标记 Android 芯片缺陷，该缺陷可实现对设备的完全控制，从而使基于智能手机的 web3 钱包容易受到物理攻击。

• AI 代理在区块链智能合约漏洞中发现了 460 万美元，由 Anthropic 提供。

• Hats Finance 正在关闭。

犯罪

• 我们如何在摄像头上现场抓获 Lazarus 的 IT 工作人员计划，作者：Mauro Eldritch (BCA) 和 Heiner García (NorthScan)。

• 独家了解与历史上最大抢劫案相关的受感染的朝鲜 APT 机器。

• 加密侦探 ZachXBT 声称与 2.43 亿美元 Genesis 债权人盗窃案有关的英国威胁行为者“可能已被捕”。丹麦人 Zulfiqar 又名 Danny 与 2.43 亿美元的 Genesis 盗窃案和 Kroll SIM 卡交换有关。

• 奥林匹亚行动。欧洲刑警组织和合作伙伴关闭“Cryptomixer”。 自 2016 年以来，该服务负责洗钱 13 亿欧元的 BTC。

• 美国、英国和澳大利亚联合targeting俄罗斯网络犯罪基础设施：Media Land 和 Aeza Group，作者：Slowmist。

• 币安发布确认内幕交易的帖子，使“黄色水果年”迷因代币的价格更高。

• 追踪公司表示，币安声称改善金融犯罪的说法遗漏了关键犯罪数据。

• 警方逮捕了两名乌克兰男子，此前维也纳发生了一起与加密钱包盗窃有关的杀人案。

• 枪手在特立尼达加密货币伏击中盗窃 85,800 美元，对持有者的袭击事件增多。

政策

• 扼杀点行动 2.0：拜登总统对数字资产的取消银行服务，由美国众议院金融服务委员会提供。 该报告记录了对加密货币行业银行关系的系统性劝阻和破坏。

• 康涅狄格州因“非法体育博彩”向 Kalshi、Robinhood 和 Crypto.com 发出停止令。

• 英国通过法案，正式承认加密货币为新的财产类别。

网络钓鱼

• 谨防 Solana 网络钓鱼攻击：钱包所有者权限可能会被更改，作者：SlowMist。

• Slowmist 报告称，Solana 和 Ethereum 用户 Babur 遭受了高达 2700 万美元的大规模盗窃。

• Pepe memecoin 网站遭到攻击，将用户重定向到恶意软件。

诈骗

• 诈骗 Telegram：揭露传播加密货币提取器的群组网络，作者：Tim。

媒体

• 与“Code is Law”联合导演 James Craig 和 Wildcat Finance 联合创始人 Laurence Day 一起调查 DeFi 黑客攻击事件。

竞赛

研究

• 以太坊离线安全状态以及如何改进它的入门知识 — 1TS Initiative，作者：Matta (The Red Guild)。

• 对 Aligned Layer Batcher 进行模糊测试如何发现核心以太坊 ZK 库中的关键 DoS 漏洞，作者：Fuzzing Labs。

• 我如何通过一个鲜为人知的 Uniswap v3/v4 属性在 @zora 的 ERC20Z 合约中发现一个关键漏洞，作者：0xKaden。

• 中继级别的解绑，用于抢先交易协议黑客攻击，作者：meridian。

• 区块链互操作性第 1 部分：互操作性问题和桥梁，作者：Charan Nomula。

• Belobog：用于真实智能合约的 Move 语言模糊测试框架。

• 通过多任务协作检测众包加密货币洗钱。

• AtomGraph：使用多模态 GCN 解决智能合约中的原子性违规问题。

• 基于大型语言模型的智能合约审计与 LLMBugScanner。

工具

• coq-of-solidity - 一种自动将 Solidity 智能合约转换为 Rocq 证明系统的工具。 这允许形式化验证智能合约的正确性。

• Antidrain，作者：Zun。 从受感染的钱包中声明空投、恢复质押的代币并拯救 NFT。 由 EIP-7702 提供支持，在清扫机器人做出反应之前执行原子批量操作。

• 原文链接： newsletter.blockthreat.i...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～