Edgen Crypto·Dec 04 2025, 02:18摘要
一名Web3求职者因被恶意代码审查请求欺骗而损失了加密货币资产。该事件凸显了社会工程攻击日益成为数字空间资产盗窃主要载体的趋势。
- 攻击向量: 一名求职者在Bitbucket上被虚假代码审查任务盯上,导致私钥被盗。
- 更广泛的趋势: 该事件是包括重大DeFi漏洞利用和关键软件漏洞在内的更广泛复杂网络威胁模式的一部分。
- 市场影响: 此类攻击侵蚀投资者和用户信任,增加了Web3领域公司的感知风险和运营成本。
返回
返回
招聘骗局揭示Web3新攻击向量
Edgen Crypto·Dec 04 2025, 02:18
执行摘要
一种新兴的社会工程策略已瞄准Web3和加密货币领域,一名求职者被欺骗审查恶意代码,导致其私钥被盗。该事件由慢雾科技(SlowMist)创始人余弦指出,并非孤立事件,而是更广泛、不断升级的威胁态势的症状。这一态势包括复杂的技术漏洞利用,例如最近从Yearn Finance窃取的900万美元,以及关键的供应链漏洞,例如在React和Next.js框架中发现的漏洞。这些事件共同预示着安全情绪的熊市,因为攻击向量成倍增加并日益复杂,威胁着资产并破坏了对数字基础设施的信任。
事件详情
此次攻击通过一个看似合法的招聘流程展开。一名攻击者冒充Web3公司**@seracleofficial**,与一名求职者接触并分配了一项代码审查任务。该代码托管在软件开发的常用平台Bitbucket上的一个仓库中。然而,该仓库包含旨在从申请人的开发环境中窃取敏感信息的恶意代码。通过与代码交互,申请人无意中损害了其系统,导致其加密货币钱包的私钥被盗,并随后蒙受资产损失。这种方法通过利用值得信赖的专业背景——求职申请流程中的人性弱点,绕过了传统的技防措施。
市场影响
主要的市场影响是信任的侵蚀,而信任是Web3生态系统的基石。此次事件强调,风险不仅限于智能合约漏洞,还包括个人和组织的操作安全性。对于公司而言,它预示着需要对新员工进行更严格且可能成本更高的审查和入职程序。对于整个市场而言,它为与该领域互动的专业人士引入了新的感知风险层面,这可能会减缓人才招聘并增加合规负担。当前情绪是看跌的,因为该事件强化了数字资产领域充斥着新颖且不可预测的安全威胁的说法。
专家评论
安全专家已将此次社会工程攻击与其他重大安全事件进行比较,强调了威胁升级的模式。在评论Yearn Finance另一起但相关的DeFi漏洞利用事件时,Check Point Research (CPR)指出:“对于防御者而言,此次漏洞利用再次强调,复杂系统的正确性需要明确处理所有状态转换,而不仅仅是‘快乐路径’。”
这一观点在软件开发领域也得到了呼应。关于React和Next.js框架中的一个关键漏洞,安全编码培训师Tanya Janca建议,应将其视为与具有里程碑意义的Log4j漏洞同等紧急。她表示:“即使目前尚未发现被野外利用,但一个Web应用程序中不可能存在比这更严重的安全漏洞。”普遍共识是,攻击者正以日益复杂的方式利用人性和技术弱点。
更广泛的背景
此次招聘骗局只是高级网络攻击这一更广泛趋势中的一个单一数据点。当前的安全格局正被一场针对日益精明的对手的多线战争所定义:
- DeFi协议漏洞利用: Yearn Finance事件中,攻击者通过利用yETH池中的会计漏洞,窃取了大约900万美元,这表明Web3的核心金融基础设施仍然是技术漏洞利用的高价值目标。
- 软件供应链攻击: 在React Server Components中发现了一个关键的反序列化漏洞(CVE-2025-55182),影响了使用Next.js等框架构建的庞大Web应用程序生态系统。这凸显了系统性风险,即一个单一的缺陷可能在整个互联网上产生连锁反应。
- 国家资助和人工智能驱动的攻击: 俄罗斯关联的Star Blizzard等组织继续对高价值目标发起鱼叉式网络钓鱼活动,而Water Saci等恶意软件活动现在正利用人工智能增强其代码和传播方法,通过WhatsApp等平台瞄准金融机构。这些攻击强调了利用先进工具和心理策略来危害目标。
总而言之,这些事件表明数字经济面临着明显而紧迫的危险。攻击者正在成功地针对系统、软件和人员,使得全面的安全尽职调查比以往任何时候都更加关键。