代碼

ChainCatcher 消息，据 Bitcoin Magazine 報導，比特幣改進提案 BIP-360 已合併至官方代碼庫中，以提升抗量子攻擊能力。

ChainCatcher 消息，据相關頁面資訊，比特幣改進提案 360 (BIP-360) 已添加到官方代碼庫中。該提案引入 Pay-to-Merkle-Root（P2MR）輸出類型，旨在通過軟分叉增強比特幣對量子計算威脅的防禦。

ChainCatcher 消息，Elon Musk 今日凌晨在社交媒體發文宣布，未來幾個月內將對 X Chat 功能進行嚴格的安全測試，並計劃開源所有代碼。

ChainCatcher 消息，据彭博社高級 ETF 分析師 Eric Balchunas 在 X 平台發文表示，貝萊德剛剛發布即將推出的 iShares 比特幣優質收益 ETF 官方 S-1 申請文件，但目前尚未披露費用和交易代碼信息。該 ETF 的策略是追蹤比特幣價格走勢，並通過積極管理的賣出看漲期權策略提供優質收益，該策略主要針對 IBIT 股票，並不時針對 ETP 指數。

ChainCatcher 消息，据 The Hacker News 報導，Cyata 研究員披露 Anthropic 維護的 mcp-server-git 存在三項嚴重安全漏洞（CVE-2025-68143/44/45），可被利用執行路徑穿越與參數注入，甚至實現遠程代碼執行。這些漏洞可通過提示注入被武器化，攻擊者僅需控制 AI 助手讀取惡意內容即可觸發攻擊。漏洞已在 2025 年 9 月與 12 月版本中修復，官方已移除 git_init 工具並增強路徑校驗，建議用戶儘快更新至最新版。

ChainCatcher 消息，Anthropic 維護的官方 mcp-server-git 中發現三個安全漏洞。這些漏洞可被通過提示詞注入攻擊手段利用，攻擊者在無需直接訪問受害者系統的情況下，通過惡意 README 文件或受損網頁即可觸發漏洞。這些漏洞包括：CVE-2025-68143（未限制的 git_init）、CVE-2025-68145（路徑驗證繞過）以及 CVE-2025-68144（git_diff 中的參數注入）。若將這些漏洞與文件系統 MCP 伺服器結合使用，攻擊者可執行任意代碼、刪除系統文件，或將任意文件內容讀取至大語言模型上下文中。Cyata 指出，由於 mcp-server-git 未對 repo_path 參數進行路徑校驗，攻擊者可在系統任意目錄創建 Git 倉庫。此外，通過在 .git/config 中配置清理過濾器，攻擊者可在無需執行權限的情況下運行 Shell 命令。Anthropic 已於 2025 年 12 月 17 日分配 CVE 編號並提交修復補丁。建議用戶將 mcp-server-git 更新至 2025.12.18 或更高版本。

ChainCatcher 消息，a16z Crypto 高級安全研究員 Daejun Park 發文，呼籲 DeFi 協議從"代碼即法律"轉向"規範即法律"，採用更原則性的安全方法。具體做法是通過標準化規範和不變性檢查（invariant checks）硬編碼安全保障，自動回退違反預定義規則的交易。Park 指出，幾乎所有已知漏洞都會觸發這類檢查，有望在執行過程中阻止黑客攻擊。據 Slowmist 報告，去年黑客通過代碼漏洞竊取超 6.49 億美元。即便是自 2021 年運行的老牌協議 Balancer 也在去年 11 月因代碼漏洞損失 1.28 億美元。開發者擔憂黑客越來越多使用 AI 尋找漏洞。Immunefi 安全主管指出，不變性檢查會增加 gas 成本，可能流失用戶，並非萬能藥。Asymmetric Research 聯合創始人表示，許多漏洞難以編寫既能檢測攻擊又不誤報的不變性規則。

ChainCatcher 消息，据 Cointelegraph 報導，開發人員週四在 GitHub 上發布的一篇帖子中表示，比特幣質押協議 Babylon 中新披露的一處軟體漏洞，可能使惡意驗證者破壞網路的部分共識流程，在關鍵時期潛在地減慢區塊生成速度。該漏洞影響 Babylon 的區塊簽名方案，即 BLS 投票擴展方案，該方案用於證明驗證者已就某個區塊達成一致。該漏洞使惡意驗證者在發送投票擴展時能夠故意省略區塊哈希字段，而這可能導致在網路 epoch 邊界期間出現驗證者共識問題。區塊哈希字段用於告知驗證者在共識過程中他們實際投票支持的是哪些區塊，而該漏洞允許省略此字段。通過這一漏洞，理論上，惡意驗證者可在階段邊界的關鍵共識檢查期間使其他驗證者崩潰，如果多個驗證者受到影響，將導致區塊生成速度放慢。目前尚未有該漏洞被積極利用的描述，但開發人員警告稱，若不解決，該漏洞可能會被濫用。

ChainCatcher 消息，Zcash 基金會在 X 平台發文表示，Zcash 是始終是---個去中心化的開源協議，沒有任何單一貢獻者、團隊或組織能夠控制 Zcash。Zcash 在設計之初便以韌性為目標。其代碼庫完全開源，共識規則由全球獨立的節點運營者共同維護，並由多元化的組織與貢獻者支持其發展。作為協議的守護者，Zcash Foundation 的使命是為公共利益服務，工作重點包括：維護並支持 Zcash 協議開發、資助獨立研究與工程實踐、支持基礎設施與治理的去中心化、倡導隱私作為基本人權。

ChainCatcher 消息，馬斯克發文稱，其 AI 模型 Grok 的代碼能力 Grok Code 將於下月迎來重大升級，屆時可"一次生成多個複雜編程任務"此前，Grok Code Fast 1 已登頂 OpenRouter AI 模型排行榜，本週使用量達約 4200 億 token

ChainCatcher 消息，Vitalik Buterin 表示，以太坊已在實際運行層面接近解決"區塊鏈不可能三角"這一長期難題。他指出，PeerDAS 與 ZK-EVM 兩項關鍵升級正使以太坊成為一種"全新的、更強大的去中心化網絡"。Vitalik 稱，PeerDAS 已於 2025 年上線主網，而 ZK-EVM 雖仍處於安全性完善階段，但在性能層面已達到生產級別，預計 2026 年將開始在網絡中小規模使用。Vitalik 進一步規劃稱，未來數年內，以太坊將通過提高 gas 上限、調整狀態結構及引入更多基於 ZK-EVM 的驗證方式，逐步實現去中心化、安全性與高吞吐量的平衡。他強調，這並非停留在理論層面的設想，而是建立在已運行代碼基礎上的長期工程成果。Vitalik 同時回顧稱，以太坊為解決數據可用性與擴展性問題已投入近 10 年時間，這一願景如今正逐步落地。

ChainCatcher 消息，据 Crowdfundinsider 報導，Grayscale Investments 向美 SEC 提交初步註冊聲明，擬推出一隻聚焦 Bittensor 的交易型產品。該信託代碼為 GTAO，旨在通過受監管的渠道，為投資者提供直接投資 Bittensor 原生代幣 TAO 的機會。提交的 S-1 文件標誌著將現有的 Grayscale Bittensor Trust 轉換為現貨 ETF 的初始階段。如果獲得批准，GTAO 將成為首個在美國上市的專注於 TAO 的 ETP，使散戶和機構投資者無需直接持有底層加密代幣即可獲得投資機會。

ChainCatcher 消息，慢霧科技首席信息安全官 23pds 在社交媒體發文表示，"經過慢霧分析，有理由相信 Trust Wallet 相關開發人員設備或代碼倉庫可能被攻擊者控制，請及時斷網排查相關人員設備。"此前消息，Trust Wallet 黑客已盜取超 600 萬美元加密資產。

ChainCatcher 消息，Vitalik 在 X 平台表示，"bug 是不可避免的，你不可能編寫無 bug 代碼"這一說法在 2030 年代將不再成立。Vitalik 認為，雖然許多軟體仍會存在 bug（因為在特定用例中，功能上的提升更為重要），但如果開發者真正希望擁有無 bug 代碼，那麼在 2030 年代將能夠實現這一目標。

ChainCatcher 消息，慢霧科技首席信息安全官 23pds 在 X 平台轉發社區用戶推文顯示，某 Polymarket 跟單交易機器人程序開發者在 GitHub 代碼中隱藏惡意代碼，啟動程序會自動讀取用戶的 ".env" 文件（裡面有錢包私鑰），然後把私鑰發送到黑客伺服器並竊取私鑰，導致資金被盜，該程序作者反復修改並多次在 GitHub 上提交代碼，故意隱藏惡意包。23pds 表示，需警惕這種方式，"不是第一次，也不會是最後一次"。

ChainCatcher 消息，開源 AI 交易操作系統 NOFX 核心貢獻者 Tinkle 在 X 平台發文稱，發現由 ChainOpera AI 基金會運營的測試網絡直接部署了其一個月前發布的代碼版本。Tinkle 表示，對方僅修改了 UI 中的 Logo 與位置，但代碼中仍保留 "Nofx" 品牌標識，首頁文案也幾乎相同，且從未進行過任何事前溝通。Tinkle 透露，其系統在過去一個月已快速迭代，並接入了幣安、OKX 等 7 家交易所。在公開聲明前，團隊已嘗試通過私下渠道聯繫對方，若未獲回應將保留證據並可能採取進一步行動。Tinkle 強調，其遵循 AGPL 開源協議精神，倡導使用、部署與改進應保持透明與署名。其團隊共 12 人，產品旨在讓用戶通過自然語言生成量化策略。

ChainCatcher 消息，据 businesswire 報導，Bittensor (TAO)財庫公司 TaoWeave（前身為 Oblong）宣布今日納斯達克開盤後將以最新股票代碼"TWAV"開始交易。此外，該公司還披露過去一個月已增持 2,439 枚TAO，代幣總持倉量達到 24,382 枚，當前 mNAV 為 1.19。

ChainCatcher 消息，慢霧科技首席信息安全官 23pds 在 X 平台發文稱，鑑於 React/Next.js 最新遠程代碼執行漏洞出現新的攻擊鏈，攻擊成功率會大幅提升，目前大量 DeFi 平台使用 React，受此漏洞影響的會有很多，各個 DeFi 平台務必注意安全風險。

ChainCatcher 消息，慢霧餘弦 @evilcos 提醒稱，有 Web3 求職者在面試過程中遭遇惡意代碼陷阱。事件中，攻擊者冒充 @seracleofficial，要求求職者審閱並運行 Bitbucket 上的代碼。受害者克隆代碼後，程序立即掃描本地全部 .env 文件並竊取私鑰等敏感信息。慢霧方面指出，此類後門屬於典型 stealer，可收集瀏覽器保存的密碼、加密錢包助記詞與私鑰等隱私數據。專家強調，凡涉及可疑代碼審查，務必在隔離環境中操作，避免在真實設備上直接運行以致遭受攻擊。

ChainCatcher 消息，由 Ethena 孵化的 DEX Terminal Finance 在社交媒體上發文表示，Terminal 最初的設計目標是成為 Converge 鏈上流動性中心，但由於 Converge 鏈主網未能如期啟動，且近期也未見上線規劃，故該項目將終止上線。用戶資金不受任何影響，所有用戶本金可全額提現，現有 Pendle 頭寸持有人將繼續獲得應得的 Ethena Sats 收益、關聯的 sUSDe 收益及 etherfi 積分。官方表示，其團隊探索了多種轉型方案，但均存在根本性障礙，包括有限的生態支持、資產接入潛力不足、長期發展前景黯淡等。最終團隊認定這些路徑均無法成就成功的長期項目，為上線而上線違背其核心原則，保持誠信才是首要準則。