Edgen Crypto·Dec 04 2025, 02:18摘要
一名Web3求職者因被惡意程式碼審查請求欺騙而損失了加密貨幣資產。該事件凸顯了社會工程攻擊日益成為數位空間資產盜竊主要載體的趨勢。
- 攻擊向量: 一名求職者在Bitbucket上被虛假程式碼審查任務盯上,導致私鑰被盜。
- 更廣泛的趨勢: 該事件是包括重大DeFi漏洞利用和關鍵軟體漏洞在內的更廣泛複雜網路威脅模式的一部分。
- 市場影響: 此類攻擊侵蝕投資者和用戶信任,增加了Web3領域公司的感知風險和營運成本。
返回
返回
招聘騙局揭示Web3新攻擊向量
Edgen Crypto·Dec 04 2025, 02:18
執行摘要
一種新興的社會工程策略已瞄準Web3和加密貨幣領域,一名求職者被欺騙審查惡意程式碼,導致其私鑰被盜。該事件由慢霧科技(SlowMist)創始人余弦指出,並非孤立事件,而是更廣泛、不斷升級的威脅態勢的症狀。這一態勢包括複雜的技術漏洞利用,例如最近從Yearn Finance竊取的900萬美元,以及關鍵的供應鏈漏洞,例如在React和Next.js框架中發現的漏洞。這些事件共同預示著安全情緒的熊市,因為攻擊向量成倍增加並日益複雜,威脅著資產並破壞了對數位基礎設施的信任。
事件詳情
此次攻擊通過一個看似合法的招聘流程展開。一名攻擊者冒充Web3公司**@seracleofficial**,與一名求職者接觸並分配了一項程式碼審查任務。該程式碼託管在軟體開發的常用平台Bitbucket上的一個倉庫中。然而,該倉庫包含旨在從申請人的開發環境中竊取敏感資訊的惡意程式碼。透過與程式碼交互,申請人無意中損害了其系統,導致其加密貨幣錢包的私鑰被盜,並隨後蒙受資產損失。這種方法透過利用值得信賴的專業背景——求職申請流程中的人性弱點,繞過了傳統的技防措施。
市場影響
主要的市場影響是信任的侵蝕,而信任是Web3生態系統的基石。此次事件強調,風險不僅限於智能合約漏洞,還包括個人和組織的操作安全性。對於公司而言,它預示著需要對新員工進行更嚴格且可能成本更高的審查和入職程序。對於整個市場而言,它為與該領域互動的專業人士引入了新的感知風險層面,這可能會減緩人才招聘並增加合規負擔。當前情緒是看跌的,因為該事件強化了數位資產領域充斥著新穎且不可預測的安全威脅的說法。
專家評論
安全專家已將此次社會工程攻擊與其他重大安全事件進行比較,強調了威脅升級的模式。在評論Yearn Finance另一起但相關的DeFi漏洞利用事件時,Check Point Research (CPR)指出:「對於防禦者而言,此次漏洞利用再次強調,複雜系統的正確性需要明確處理所有狀態轉換,而不僅僅是『快樂路徑』。」
這一觀點在軟體開發領域也得到了呼應。關於React和Next.js框架中的一個關鍵漏洞,安全編碼培訓師Tanya Janca建議,應將其視為與具有里程碑意義的Log4j漏洞同等緊急。她表示:「即使目前尚未發現被野外利用,但一個Web應用程式中不可能存在比這更嚴重的安全漏洞。」普遍共識是,攻擊者正以日益複雜的方式利用人性和技術弱點。
更廣泛的背景
此次招聘騙局只是高級網路攻擊這一更廣泛趨勢中的一個單一數據點。當前的安全格局正被一場針對日益精明的對手的多線戰爭所定義:
- DeFi協議漏洞利用: Yearn Finance事件中,攻擊者透過利用yETH池中的會計漏洞,竊取了大約900萬美元,這表明Web3的核心金融基礎設施仍然是技術漏洞利用的高價值目標。
- 軟體供應鏈攻擊: 在React Server Components中發現了一個關鍵的反序列化漏洞(CVE-2025-55182),影響了使用Next.js等框架建構的龐大Web應用程式生態系統。這凸顯了系統性風險,即一個單一的缺陷可能在整個網際網路上產生連鎖反應。
- 國家資助和人工智慧驅動的攻擊: 俄羅斯關聯的Star Blizzard等組織繼續對高價值目標發起魚叉式網路釣魚活動,而Water Saci等惡意軟體活動現在正利用人工智慧增強其程式碼和傳播方法,透過WhatsApp等平台瞄準金融機構。這些攻擊強調了利用先進工具和心理策略來危害目標。
總而言之,這些事件表明數位經濟面臨著明顯而緊迫的危險。攻擊者正在成功地針對系統、軟體和人員,使得全面的安全盡職調查比以往任何時候都更加關鍵。