美國跨國查緝混幣服務 AudiA6:兩人起訴、經手 3.89 億美元
混幣服務把不同來源的加密貨幣混在一起、切斷金流軌跡,也成為網路犯罪洗錢的常見管道。自 2022 年 Tornado Cash 被制裁後,執法機關持續鎖定這類服務。AudiA6 就是其中之一,它在暗網論⋯
主題標籤
資安
Humanity 私鑰駭客 3,600 萬美元:鑑識揭董事筆電遭釣魚,Quantstamp 指北韓特徵
Humanity Protocol 主打去中心化身分,用掌紋生物辨識加上零知識證明,讓人證明自己是真人卻不洩露個資。6 月 8 日,約 17 個相關錢包被清空、$H 代幣盤中崩約八成五,當時鏈上偵探 ⋯
Raydium 停用多年的舊資金池遭抽走 134 萬美元,金庫全額賠付
Raydium 是 Solana 上交易量最大的去中心化交易所。這次被攻擊的不是主力產品,而是一批 2021 年 Serum 時代留下、早已停用的舊版 AMM V3 資金池。這些池子自停用後就無法透過⋯
Aave 端出四層風險框架因應 KelpDAO 攻擊:不達標資產數週內逐步下架
Aave 是以太坊上最大的 DeFi 借貸協議,協議能不能擋住壞帳,全看上架的抵押品夠不夠安全。今年 4 月的 KelpDAO 事件正好打中這個弱點:攻擊者利用 rsETH 跨鏈橋被從 2-of-2 ⋯
Zcash 提出 Ironwood 新護盾池:用閘機會計重建供給可驗證性
Zcash 賣的是隱私,但這次問題卡在隱私本身。Orchard 護盾池 2022 年上線,把交易藏進零知識證明裡。5 月底資安研究員 Taylor Hornby 用 AI 輔助審計,找到一個四年沒被發⋯
Trezor Safe 7 安全晶片遭 Ledger 雷射攻擊破解:三層防護被打掉一層,資金仍安全
硬體錢包又叫冷錢包,把私鑰離線存在實體裝置裡,安全性高過 MetaMask 這類熱錢包。Trezor 旗艦款 Safe 7 用三道彼此獨立的實體安全防線,其中一道是姊妹公司 Tropic Square⋯
Fluid 鏈外獎勵系統金鑰遭入侵:125,000 顆 FLUID 與 51,900 顆 GHO 被領走
Fluid 是借貸協議 Instadapp 改名後的主力產品,把使用者獎勵的發放放在鏈外的 Merkle 分配系統處理,由一組權限金鑰負責提交與核准每一期的獎勵根。這類鏈外環節向來是 DeFi 協議的⋯
TrapDoor 攻擊瞄準 AI 程式工具:34 個惡意套件藏指令讓 Cursor、Claude Code 外洩私鑰
AI 程式工具(Cursor、Claude Code)會讀取專案內的設定檔來理解上下文,但如果設定檔裡藏了用零寬度 Unicode 隱藏的惡意指令,AI 工具會照做,開發者在畫面上完全看不到異狀。 資⋯
StablR 多簽設定僅 1-of-3,一把私鑰被盜即鑄出 1,350 萬美元穩定幣
StablR 是 Tether 2024 年底投資、跟著歐盟 MiCA 框架推出的歐元、美元穩定幣,主打「儲備分離保管、受監管」。5 月 24 日週日,Blockaid 偵測到攻擊者私下入侵 Stab⋯
Polymarket 內部加值錢包私鑰被竊,70 萬美元遭搬光,合約與使用者資金未受影響
Polymarket 5/22 早上被鏈上偵探 ZachXBT 點名:Polygon 上一個和獎勵發放有關的內部錢包正在被持續搬光,Bubblemaps 跟進統計,攻擊者每 30 秒提走 5,000 ⋯
Vitalik 撰文倡議形式驗證:AI 寫程式搭配數學證明,安全性可高於人工
Vitalik 5/18 在自家部落格發了一篇〈A shallow dive into formal verification〉,講法很直接:AI 會讓駭客找漏洞更快,但只要把 AI 寫的程式碼配上「⋯
Anthropic 限定釋出 Claude Mythos:能挖出數千個零日漏洞,Project Glasswing 給 40 家合作方搶先用
Anthropic 4/7 揭露 Claude Mythos Preview,這個模型能自主挖出數千個零日漏洞,其中包括一個塵封 17 年的 FreeBSD 遠端執行漏洞。模型不對外開放,僅透過 Pr⋯
Anthropic 不小心把 Claude Code 51 萬行原始碼塞進 npm 套件,12 小時內被全網鏡像
3 月 31 日凌晨,Anthropic 更新 Claude Code 的 npm 套件時,意外把一份 59.8MB 的 source map 檔打包進去。裡面是完整的原始碼:1,906 個 Type⋯