去中心化交易所Cetus Protocol宣布,黑客窃取了2.23亿美元的加密货币。同时,Cetus Protocol提出了协议,表示如果资金被归还,将停止一切法律行动。该项目还宣布悬赏500万美元,奖励任何提供相关信息的人,以帮助识别和逮捕攻击者。
Cetus Protocol是在Sui和Aptos区块链上运行的去中心化交换(DEX)和流动性协议。它采用集中流动性做市商(CLMM)模型,允许流动性提供者在特定价格范围内配置资产,提高资本效率并实现先进的交易策略。
Cetus Protocol的总交易量为570亿美元(截至2025年5月),超过1500万个账户在平台上执行了1.44亿笔交易。该事件发生后,促使Cetus Protocol暂停其智能合约进行调查。不久后,该项目证实被盗,并表示“1.62亿美元的被盗资金已被成功冻结。”
在随后的一份声明中,Cetus Protocol宣布黑客利用了一个易受攻击的软件包,但没有透露细节。
Cetus Protocol表示:“我们确定了漏洞的根本原因,修复了相关软件包,并在生态系统成员的帮助下尽快通知生态系统建设者,以防止其他团队受到影响。”
此外,该平台指出,它已经确定了攻击者的以太坊钱包地址和账户,并正在与第三方合作追踪和冻结资金。执法部门也已得到通知。
Cetus Protocol还向黑客提供了“一份时间敏感的白帽和解协议”,承诺如果资金被退还,将不会采取法律行动。为了给攻击者施加更大的压力,该项目宣布悬赏500万美元,以获取有助于识别和逮捕黑客的信息。与此同时,在验证者进行紧急投票后,一笔1.62亿美元的交易被暂停。
区块链分析公司Elliptic根据其对该事件的可见性发布了一份报告,指出自动做市商(AMM)逻辑存在漏洞,可能涉及池价操纵,从而实现闪贷式攻击。
区块链情报公司还概述了攻击者的资金转移尝试,包括从USDT到USDC的交换以及从Suit到以太坊的跨链转移。
Cetus Protocol黑客事务概述
目前,Elliptic正在积极追踪从Sui上的最初攻击到攻击者在Ethereum上的钱包的所有交易,并且在所有主要交易所和虚拟资产服务提供商上标记了黑客的地址,以防止其洗钱或转移企图。
Here’s a look at the most interesting products from the past month, featuring releases from: Anchore, BalkanID, Cyble, groundcover, Hunted Labs, LogicGate, McAfee, Obsidian Security, Outpost24, PentestPad, ProcessUnity, Resecurity, Searchlight Cyber, SecuX, ServiceNow, ThreatMark, and Verosint. New MCP server from groundcover redefines LLM observability A new MCP server, faster than any other on the market, has been launched from groundcover, the eBPF-driven observability platform. Developers can now enhance their AI-driven workflows with deep system context, … More →
The post Infosec products of the month: May 2025 appeared first on Help Net Security.
As cyber threats grow in complexity and volume, Security Operations Centers (SOCs) increasingly leverage threat intelligence to transform their defensive strategies from reactive to proactive. Integrating Cyber Threat Intelligence (CTI) into SOC workflows has become critical for organizations that aim to anticipate attacks, prioritize alerts, and respond precisely to incidents. This shift is driven by […]
The post Integrating Threat Intelligence into Security Operations Centers appeared first on Cyber Security News.
一个名为“Hazy Hawk”的黑客劫持了被遗忘的DNS CNAME记录,这些记录指向被抛弃的云服务,并接管了政府、大学和财富500强公司的可信子域名,以分发诈骗、虚假应用程序和恶意广告。
根据Infoblox研究人员的说法,Hazy Hawk首先扫描带有指向废弃云端点的CNAME记录的域,他们通过被动DNS数据验证来确定。
接下来,他们注册一个与废弃CNAME中的名称相同的新云资源,导致原始域的子域解析到威胁者的新云托管站点。
使用这种技术,威胁者劫持多个域名来掩盖恶意活动,托管诈骗内容,或将它们用作诈骗操作的重定向中心。
被劫持域名的部分值得注意的例子包括:
·cdc.gov -美国疾病控制和预防中心
·honeywell.com-跨国企业集团
·berkeley.edu -加州大学伯克利分校
·michelin.co.uk -米其林轮胎英国
·ey.com、pwc.com、deloitte.com——全球四大咨询公司
·ted.com –著名的非营利媒体组织(TED演讲)
·Health .gov.au -澳大利亚卫生部
·unicef.org -联合国儿童基金会
·nyu.edu -纽约大学
·unilever.com -全球消费品公司
·ca.gov -加利福尼亚州政府
一旦攻击者获得对子域的控制,他们就会在子域下生成数百个恶意url,由于父域的高信任度,这些url在搜索引擎中看起来是合法的。
点击url的受害者会被重定向到多个层次的域名和TDS基础设施,这些基础设施会根据他们的设备类型、IP地址、VPN使用情况等对他们进行分析,以确定受害者的资格。
Hazy Hawk袭击的概况
Infoblox的报告称,这些网站被用于技术支持诈骗、虚假的防病毒警报、虚假的流媒体/色情网站和网络钓鱼页面。且允许浏览器推送通知的用户即使在离开诈骗网站后也会收到持续的警报,这可以为Hazy Hawk带来可观的收入。
活动中的推送通知例子
同样的研究人员之前报告了另一个威胁者——“Savvy Seahorse,”,他也滥用CNAME记录来建立一个非典型的TDS,将用户重定向到虚假的投资平台。
CNAME记录很容易被忽视,因此它们容易被暗中滥用,似乎越来越多的威胁者意识到这一点,并试图利用这一点。
在“Hazy Hawk”的案例中,该行动的成功还依赖于组织在云服务退役后未能删除DNS记录,这使得攻击者可以在没有身份验证的情况下复制原始资源名称。