HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款名为 Aeternum C2 的新型僵尸网络加载器细节，该恶意软件采用基于区块链的命令与控制（C2）架构，使其难以被取缔。 Qrator Labs 在提交给 The Hacker News 的报告中表示：“Aeternum 不依赖传统服务器或域名实现命令与控制，而是将指令存储在公共的 Polygon 区块链上。” “该网络被包括全球最大预测市场 Polymarket 在内的去中心化应用广泛使用。这种方式使 Aeternum 的 C2 架构具备事实上的永久性，且能够抵御传统取缔手段。” 这并非首次发现僵尸网络依赖区块链实现 C2 通信。 2021 年，谷歌表示已采取行动干扰名为 Glupteba 的僵尸网络，该网络将比特币区块链用作备用 C2 机制，以获取真实 C2 服务器地址。 Aeternum C2 的相关细节最早于 2025 年 12 月曝光，Outpost24 旗下 KrakenLabs 披露，名为 LenAI 的威胁行为者在地下论坛以 200 美元的价格兜售该恶意软件，向客户提供管理面板与已配置的编译版本。 据称，支付 4000 美元即可获得完整的 C++ 源代码及后续更新。 该恶意软件为原生 C++ 加载器，提供 32 位与 64 位版本，其运行机制是将下发给受感染主机的命令写入 Polygon 区块链上的智能合约。 僵尸主机随后通过查询公共远程过程调用（RPC）端点读取这些命令。 所有操作均通过基于网页的管理面板进行，客户可在面板中选择智能合约、选择命令类型、指定载荷 URL 并进行更新。 可面向全部终端或指定终端的命令会以交易形式写入区块链，之后所有轮询该网络的受感染设备均可获取该命令。 Qrator Labs 表示：“命令一经确认，除钱包持有者外，其他任何人都无法修改或删除。” “操作者可同时管理多个智能合约，每个合约可承载不同的载荷或功能，例如剪切器、信息窃取器、远程访问木马或挖矿程序。” 根据 Ctrl Alt Intel 本月早些时候发布的两部分研究内容，该 C2 面板基于 Next.js 网页应用实现，允许操作者向 Polygon 区块链部署智能合约。智能合约中包含一个函数，当恶意软件通过 Polygon RPC 调用该函数时，合约会返回加密命令，该命令随后会在受害主机上解密并执行。 除利用区块链实现抗取缔能力外，该恶意软件还集成了多种反分析功能，以延长感染存活时间。其中包括检测虚拟化环境，同时为客户提供通过 Kleenscan 扫描其编译版本的能力，确保不被杀毒软件厂商检出。 这家捷克网络安全厂商表示：“运营成本极低：价值 1 美元的 Polygon 网络原生代币 MATIC，即可支持 100 至 150 次命令交易。操作者无需租用服务器、注册域名或维护任何基础设施，仅需一个加密货币钱包和面板的本地副本即可。” 该威胁行为者随后试图以 10000 美元的价格出售整套工具包，声称无暇提供支持且正在参与其他项目。LenAI 称：“我将把整个项目出售给一个人，允许转售和商业使用，授予全部‘权限’。我还会提供尚未实现的开发相关实用提示 / 笔记。” 值得注意的是，LenAI 还开发了另一款恶意软件工具 ErrTraffic，该工具可使威胁行为者在受攻陷网站上制造虚假故障，自动实施 ClickFix 攻击，制造虚假紧急感并诱骗用户执行恶意指令。 本次披露发布的同时，Infrawatch 也公布了一项地下服务的细节：该服务将专用笔记本硬件部署到美国家庭中，将这些设备纳入名为 DSLRoot 的住宅代理网络，用于转发恶意流量。 该硬件运行基于 Delphi 编写的 DSLPylon 程序，该程序具备枚举网络中受支持调制解调器的能力，并可通过安卓调试桥（ADB）集成功能远程控制家用网络设备与安卓设备。 Infrawatch 表示：“溯源分析确认，该服务运营者为白俄罗斯公民，常住地为明斯克和莫斯科。据估计，DSLRoot 在美国 20 多个州运营约 300 台活跃硬件设备。” 该运营者身份已确认为 Andrei Holas（别名 Andre Holas、Andrei Golas），该服务由 BlackHatWorld 上名为 GlobalSolutions 的用户推广，声称提供实体住宅 ADSL 代理，无限制使用价格为每月 190 美元。套餐价格为半年 990 美元、一年 1750 美元。 该公司指出：“DSLRoot 的定制软件可通过 ADB 对家用调制解调器（ARRIS / 摩托罗拉、贝尔金、D-Link、华硕）与安卓设备实现自动化远程管理，支持 IP 地址轮换与连接控制。” “该网络无需认证即可运行，允许客户端通过美国住宅 IP 匿名转发流量。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周一，黑客从去中心化金融协议 Balancer 中窃取了价值数百万美元的加密货币。 各方估算数据存在差异，但多数区块链安全公司认为损失已超 1.2 亿美元，其中至少有部分被盗资金为以太坊（ETH）。 作为去中心化金融（DeFi）领域的核心平台，Balancer 最初表示已知晓此次攻击并正展开调查。加密货币安全专家指出，此次事件源于访问控制机制存在漏洞，攻击者利用该漏洞实施了盗窃。 截至周一下午，该公司发布了一份更长的声明，说明攻击始于当天清晨。 “所有可暂停的资金池均已暂停，目前处于恢复模式，” 该公司表示，并提及自身与其他多家加密货币平台存在关联，但无法单方面暂停这些平台的运营。 “Balancer 始终致力于运营安全，不仅经过顶尖公司的全面审计，还长期设立漏洞赏金计划，以激励独立审计人员参与安全检测。我们正与安全及法律团队紧密合作，确保用户资产安全，并将迅速、彻底地开展调查工作。” 目前，该公司仍在联合专家调查事件详情，并计划在适当时候发布事后分析报告。 Balancer 同时警示用户，当前有冒充公司安全团队的欺诈信息在传播，切勿与之互动。 多家与 Balancer 相关的区块链机构已宣布采取措施应对此次事件。Berachain 基金会表示已暂停其网络，团队正采取紧急措施保护用户资产，且成功追回了部分从其平台被盗的资金。其他加密货币平台也采取了类似防护措施。 Balancer 过去曾发生过安全事件，但已接受约 10 次区块链安全公司的审计。 上周，黑客还从另一个去中心化金融平台 Garden Finance 窃取了约 1080 万美元。 其中大部分资金的窃取者据称与朝鲜政府有关联 —— 朝鲜已将加密货币盗窃作为其弹道导弹项目的重要资金来源。 美国、法国、德国、日本等国政府上周发布的一份报告显示，2025 年 1 月至 9 月期间，朝鲜应对至少 16.5 亿美元加密货币被盗事件负责。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正采用一种名为“交易模拟欺诈”的新手段窃取加密货币，其中一起攻击成功盗取了价值约46万美元的143.45枚以太坊。 此次由ScamSniffer发现的攻击，凸显了现代Web3钱包中交易模拟机制存在的漏洞，该机制本应用于保护用户免受欺诈和恶意交易侵害。 攻击原理 交易模拟功能允许用户在签署和执行区块链交易前预览预期结果。 该功能旨在通过帮助用户验证交易内容（如转账的加密货币数量、燃气费及其他交易费用以及链上数据变化等）来增强安全性和透明度。 攻击者诱导受害者访问一个模仿合法平台的恶意网站，该网站启动了一个看似“领取”功能的操作。交易模拟显示用户将获得少量以太坊。 然而，模拟与执行之间存在时间延迟，攻击者利用这一时间差更改链上合约状态，从而在交易获得批准后改变其实际执行内容。 受害者信任钱包的交易模拟结果并签署了交易，导致网站将其钱包中的所有加密货币转至攻击者钱包。 攻击流程 ScamSniffer指出一起真实案例，受害者在状态更改后30秒签署了欺诈交易，导致资产（143.35枚以太坊）全部损失。 ScamSniffer警告称：“这种新的攻击方式标志着网络钓鱼技术的重大演变。攻击者不再依赖简单的欺骗手段，而是利用用户依赖的受信任钱包功能。这种复杂手段使得检测尤为困难。” 初始模拟（上）与篡改后的交易（下） 区块链监测平台建议，Web3钱包应降低模拟刷新频率以匹配区块链区块时间，在关键操作前强制刷新模拟结果，并添加过期警告以提醒用户风险。 从用户角度来看，这一新型攻击表明不应信任钱包模拟。 加密货币持有者应谨慎对待不明网站上的“免费领取”优惠，并仅信任经过验证的去中心化应用（dApps）。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据区块链研究公司Chainalysis的报告，2024年，超过22亿美元的加密货币被盗自加密平台。 该公司发现，近五年来这些平台的盗窃金额超过了10亿美元，2024年增长了21%以上，达到了22亿美元，事件数目从2023年的282起增至2024年的303起。 研究人员指出，仅在2024年1月至7月之间，加密平台的损失就达到了15亿美元——这一速度使得行业预计2024年的盗窃金额将达到30亿美元。然而，随着2024年5月日本平台DMM Bitcoin遭遇3.05亿美元的重大损失，以及2024年7月印度WazirX平台近2.35亿美元的被盗事件，年中以后，攻击的数量和规模大幅下降。 这两起攻击对现实世界产生了深远的影响。DMM Bitcoin两周前宣布，黑客攻击迫使其关闭网站并将所有加密资产出售给日本金融巨头SBI Group。Chainalysis追踪了被盗的DMM资金，发现其通过多个不同平台进行洗钱，最终在臭名昭著的柬埔寨金融平台Huione Guarantee上兑现——该平台是中国有组织犯罪和网络诈骗的中心。 11月，印度当局逮捕了一名来自西孟加拉邦的男子，指控他参与盗取WazirX平台的2.35亿美元。 Chainalysis表示，与朝鲜政府相关的黑客组织主导了大部分来自加密平台的盗窃行为，2024年，这些黑客通过47起事件窃取了13.4亿美元。这一数字较2023年的6605万美元（20起攻击事件）大幅增加。 根据Chainalysis，朝鲜黑客已因其加密货币盗窃行为而臭名昭著——朝鲜利用这些资金规避国际制裁，并资助其弹道导弹项目。 “遗憾的是，朝鲜的加密攻击似乎变得更加频繁，”研究人员表示，“尤其是5000万到1亿美元之间的攻击，以及超过1亿美元的攻击在2024年出现得比2023年更为频繁，表明朝鲜在进行大规模攻击时变得更加熟练和迅速。这与过去两年形成鲜明对比，过去两年中，朝鲜的攻击每次带来的利润通常低于5000万美元。” 虽然根据被盗金额，多个史上最大规模的黑客攻击已被归因于朝鲜黑客，但该国也在逐渐转向盗取来自小型平台的小额资金。Chainalysis表示，朝鲜攻击事件的密度在“尤其是约1万美元”的范围内有了增长。   朝鲜加密黑客的技能继续令安全专家困惑。上周，加密平台Radiant Capital发布了关于9月一起事件的事后分析，其中超过5000万美元被盗。 这些黑客涉嫌与朝鲜的侦察总局（RGB）有关，采用创新的手段破坏了Radiant Capital工程师使用的设备。 根据联合国调查人员的报告，朝鲜政府在2017年至2023年间，通过攻击加密货币平台获得了30亿美元的资金。   消息来源：The Record, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

2022年6月23日星期四，一名黑客成功地进行了一次恶意攻击，从Harmony的Horizon区块链桥上窃取了1亿美元，并通过11笔交易提取了存储在桥上的代币（HZ），但Harmony的比特币桥在这次攻击中仍然没有受到影响。 区块链桥的设计如Harmony的Horizon主要使用户能够在不同的区块链之间移动资产，包括代币、稳定币和NFT。 攻击发生后，Harmony立即停止了Horizon桥，以防止进一步的交易。然后，它联系了联邦调查局和多个网络安全和交易所合作伙伴，以调查、跟踪和协助检索被盗资产。在这些联系建立之后，Harmony才通过Twitter和其博客文章宣布了黑客攻击事件。 黑客的身份似乎已经确定，因为调查小组已经尝试用交易中的嵌入式信息与他们的地址进行沟通，并正在等待回应。 在一篇博文中，该公司说： “本次事件是一次谦卑和不幸的提醒，我们的工作对这个空间的未来是多么重要，我们还有很多工作要做。… 我们正在夜以继日地工作，以确保以最有效的方式完成调查和追回被盗资金”。 仅在今年，区块链世界就发生了三起针对区块链桥的黑客事件，被盗的资金超过10亿美元。     转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1285061.htm 封面来源于网络，如有侵权请联系删除

在周一发布的联合公告中，美国网络与基础设施安全局（CISA）、联邦调查局（FBI）和财政部指出 —— 被称作 Lazarus Group 的黑客组织，正在使用被植入木马的加密货币应用程序，向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币（NFT）的公司，以及参与其中的个人。 CryptAIS 网站截图 几天前，美官员刚刚将疑似与朝鲜方面有关联的 Lazarus Group 黑客组织，与最近从 Ronin 窃取的价值 6.25 亿美元的加密货币事件联系起来。 作为一个基于 ETH 的侧链，它有被用于盈利类游戏 Axie Infinity 。然而攻击者们正在通过各种通信平台和社会工程手段，将黑手伸向了加密货币企业的员工。 公告提醒道：攻击者会发送具有高度针对性的欺诈（钓鱼）邮件，声称提供高薪工作机会、以试图引诱受害者下载被植入木马的加密货币应用程序。 UpdateCheckSync() 与 DAFOM 捆绑功能描述 美政府机构将这类操作称作“叛变交易”（TraderTraitor），似乎是所谓的“梦想工作”（Dream Job）攻击事件的一个延续。 后者在 2020 年被首次观察到，可知黑客将目光瞄向了国防、航空航天和化工行业的工作者，此类恶意应用程序会在受害者网络环境中传播。 而为了开展欺诈性区块链交易等后续活动，黑客不仅会试图窃取私钥、还会积极利用其它安全漏洞。 Esilet 中的 UpdateCheckSync() 函数截图 CISA 披露的部分 TraderTraitor 恶意应用程序，包括了 Dafom、CryptAIS、AlticGO、Esilet 和 CreAI deck，声称提供各种投资组合、以及实时的加密货币预测等服务。 此外该公告还详细描述了攻击指标（IOC）和应对策略、技术与程序（TTP）细节，以敦促区块链和加密货币行业组织加强防御措施。 最后，美方去年还通报过被注入了 AppleJeus 恶意软件的加密货币交易应用程序，可知 Lazarus 利用此类手段从全球企业和个人手中劫掠了不少加密资产。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1260241.htm 封面来源于网络，如有侵权请联系删除

  视频链接：https://n.sinaimg.cn/sinakd20211219s/138/w600h338/20211219/9907-45d93401a89f40f888b22dc250f73fab.jpg 区块链项目Ronin发布消息称，黑客从该项目窃取价值6.15亿美元的加密货币。按照Ronin的说法，3月23日不明身份的黑客进入系统，窃取173600枚Ether币和2550万枚USD Coin币。按照当前汇率，被窃取的加密货币价值6.15亿美元，被黑时约值5.4亿美元。 Ronin在博文中表示，黑客利用被盗私人密钥（获取加密货币资金的密码）窃取资金。周二时Ronin发现系统被黑，它正在与相关政府机构合作，以确保将罪犯绳之以法，它还与Axie Infinity讨论如何保证用户的资金安全。 Ronin平台的用户已经无法存取资金，它还与区块链追踪商Chainalysis合作追踪被盗资金，目前大多被盗资金还在黑客的数字钱包内。 你也许不知道Ronin，它是新加坡游戏工作室Sky Mavis开发的，该公司也是Axie Infinity的所有者。   转自 新浪科技 ，原文链接：https://finance.sina.com.cn/tech/2022-03-30/doc-imcwipii1329672.shtml 封面来源于网络，如有侵权请联系删除