KelpDAO遭2.9亿美元加密货币盗窃
发布时间 2026-04-211. KelpDAO遭2.9亿美元加密货币盗窃
4月20日,DeFi项目KelpDAO遭受了价值约2.9亿美元的加密货币盗窃案,据信是朝鲜国家支持的黑客所为。此次攻击还影响了Compound、Euler和Aave等借贷协议,其中Aave已宣布冻结并阻止使用rsETH作为抵押品的新存款或借款。4月18日,KelpDAO宣布检测到涉及rsETH的“可疑跨链活动”,随即暂停了以太坊主网和L2上的rsETH合约,并在LayerZero、Unichain等合作伙伴的协助下展开调查。区块链活动显示,约有116,500个rsETH被盗,价值约2.93亿美元,随后资金通过Tornado Cash进行转移以掩盖踪迹。根据LayerZero分享的细节,此次攻击的目标是用于验证rsETH跨链消息的验证层(DVN)。攻击者入侵了验证器使用的一些RPC节点,向其提供伪造的区块链数据,同时对健康的RPC节点发起DDoS攻击,迫使系统依赖于被“污染”的节点。这使得伪造的跨链消息被接受为有效消息,系统确认了实际上从未在链上发生的交易,并允许在未经授权的情况下转移rsETH。
https://www.bleepingcomputer.com/news/security/kelpdao-suffers-290-million-heist-tied-to-lazarus-hackers/
2. 法国ANTS平台遭网络攻击,近1900万条个人数据泄露
4月20日,法国的ANTS平台近期遭遇了一次网络攻击,该平台负责处理护照、身份证、居留许可和驾驶执照的申请。当局于4月15日发现了这起安全事件,并警告称,此次漏洞可能导致个人和专业人士的个人数据泄露。内政部已确认此次安全漏洞,并正在调查漏洞范围及对受影响用户的影响。ANTS发布的公告显示,此次安全漏洞可能泄露了用户的登录ID、姓名、邮箱、出生日期和账户ID等详细信息。在某些情况下,泄露的信息还包括地址、出生地或电话号码。有关部门正在通知受影响的用户。根据数据泄露通知,泄露的数据不包括已上传的文件,也无法直接访问用户账户。当局已将此事报告给法国数据保护局(CNIL),通知了检察官,并向国家网络安全机构发出警报。与此同时,一名威胁行为者声称正在出售从ANTS窃取的大型数据集,其中包括约1800万至1900万条记录,包含姓名、电子邮件、电话号码、出生详情、地址和账户元数据。
https://securityaffairs.com/191069/data-breach/frances-ants-id-system-website-hit-by-cyberattack-possible-data-breach.html
3. Gentlemen勒索软件借SystemBC感染超1570家企业主机
4月20日,在对一起由团伙成员实施的Gentlemen勒索软件攻击进行调查后,Check Point研究人员发现了一个由超过1570台主机组成的SystemBC代理恶意软件僵尸网络,这些主机据信主要为企业受害者。Gentlemen勒索软件即服务(RaaS)运营大约在2025年中期出现,提供了可加密Windows、Linux、NAS和BSD系统的Go语言加密器,以及针对ESXi虚拟机管理程序的C语言加密器。去年12月,该勒索软件攻击了罗马尼亚最大的能源供应商之一奥尔特尼亚能源综合体。尽管该RaaS行动公开声称已造成约320名受害者,其中大部分攻击发生在今年,但研究人员发现其关联组织正在迅速扩展攻击工具包和基础设施。在一次事件响应过程中,研究人员发现勒索软件行动的一个关联方试图部署SystemBC代理恶意软件以进行隐蔽的有效载荷投放。SystemBC至少从2019年就已存在,主要用于SOCKS5隧道传输,因其能够传递恶意载荷而被勒索软件团伙广泛采用。据Check Point观察,与Gentlemen部署SystemBC相关的大多数受害者位于美国、英国、德国、澳大利亚和罗马尼亚。
https://www.bleepingcomputer.com/news/security/the-gentlemen-ransomware-now-uses-systembc-for-bot-powered-attacks/
4. 精工美国官网遭篡改,攻击者索要赎金
4月20日,上周末,精工美国官网遭到篡改,其“新闻发布厅”页面被替换为攻击者发布的消息,声称已窃取该公司的Shopify客户数据库,并威胁称除非支付赎金,否则将公开泄露这些数据。被篡改的网页以“被黑”为标题,将正常内容替换成了一则勒索及数据泄露通知。攻击者声称已成功入侵精工美国的Shopify商店安全系统,并下载了整个客户数据库,其中包含的信息包括:客户姓名、电子邮件地址、电话号码、订单历史记录、交易详情、收货地址与偏好、账户创建日期以及客户备注等。攻击者警告称,除非精工美国公司参与谈判,否则被盗数据将被公开。作为要求的一部分,他们指示该公司在Shopify管理后台中查找一个特定客户账户(ID为8069776801871),并声称该账户资料中添加了一个联系邮箱地址,应使用该邮箱发起谈判。此外,攻击者还要求精工美国必须在72小时内与他们联系,否则所谓的数据库将被公布。
https://www.bleepingcomputer.com/news/security/seiko-usa-website-defaced-as-hacker-claims-customer-data-theft/
5. Mastodon旗舰服务器遭DDoS攻击
4月20日,社交网络软件制造商Mastodon周一证实,其旗舰服务器mastodon.social遭遇了分布式拒绝服务(DDoS)攻击,导致该实例在部分时段无法正常访问。网站大部分内容要么显示错误信息,要么出现全屏故障警告。Mastodon于美国东部时间早上7点左右发布状态更新,表示正在调查此次攻击。上午9点05分,该公司称已采取应对措施,网站已恢复访问,但由于攻击仍在进行中,可能仍会出现一些不稳定情况。Mastodon表示,目前已收到数百万次恶意请求,符合DDoS攻击的模式。攻击目前仅针对mastodon.social这一个实例,其团队已在攻击开始后的几小时内部署应对措施并恢复了访问。Mastodon通讯主管Andy Piper指出,在这种情况下,联邦宇宙的去中心化特性确实是一项优势。在其他Mastodon服务器或任何其他联邦宇宙服务器上拥有账户的用户完全不受影响,在大多数情况下甚至根本感觉不到服务中断,他们能够像往常一样访问网络、阅读和分享帖子。
https://techcrunch.com/2026/04/20/mastodon-says-its-flagship-server-was-hit-by-a-ddos-attack/
6. 攻击者滥用Teams冒充IT人员诱骗远程访问
4月20日,微软近日发出警告,称威胁行为者正在越来越多地滥用Microsoft Teams的外部协作功能,并依赖合法工具访问企业网络、进行横向移动和数据窃取。在这些攻击中,黑客冒充IT或服务台人员,通过跨租户聊天联系员工,诱骗他们提供远程访问权限。微软观察到多起入侵事件均采用类似的攻击链,使用商业远程管理软件(如Quick Assist)和Rclone实用程序,将文件传输到外部云存储服务。由于大量使用合法应用程序和原生管理协议,后续恶意活动很难与正常操作区分开来。微软表示,攻击者从初始立足点出发,利用受信任的工具和本地管理协议在企业内部横向移动,并准备敏感数据以进行窃取,整个过程往往融入到日常IT支持活动中。在最近的一份报告中,微软详细描述了一个九阶段的攻击链。该攻击链始于威胁行为者通过外部Teams聊天联系目标,冒充公司IT人员,声称需要解决账户问题或执行安全更新,目的是诱使目标用户启动远程支持会话,通常是通过Quick Assist,从而让攻击者直接控制员工的计算机。
https://www.bleepingcomputer.com/news/security/microsoft-teams-increasingly-abused-in-helpdesk-impersonation-attacks/
京公网安备11010802024551号