慢雾 SlowMist

Autoři: enze & Lisa
Upravit: 77
Pozadí
Dne 8. ledna 2026 byl decenteralizovaný protokol pro offline výpočty Truebit Protocol útočen, přičemž útočník využil chyby ve smlouvě a získal přibližně 8 535 ETH (asi 26,44 milionu USD). Níže naleznete podrobný analýzu útoku od týmu bezpečnosti SlowMist.

Kořenová příčina
Při výpočtu počtu ETH potřebných k vytvoření tokenů TRU ve smlouvě Purchase v Truebit Protocol nedošlo k ochraně při přetečení při celočíselném sčítání, což způsobilo, že výsledek výpočtu ceny byl nulový. Útočník tak mohl téměř bez nákladů vytvořit velké množství tokenů a vytáhnout rezervy smlouvy.

Od 2. ledna do 4. ledna se v Hongkongu úspěšně konal projekt Web3 Leaders (druhá třída), který společně pořádaly Global Fintech Academy (GFI), HashKey Group a Frontier Technology Institute (FTI). Dne 3. ledna byl CISO 23pds od SlowMist pozván, aby se podělil o své zkušenosti na veřejné lekci a s několika hosty a studenty z tradičního financí, blockchainu a oblasti špičkových technologií se zapojil do hluboké debaty o bezpečnostních výzvách a řízení rizik během vývoje Web3.

Na této veřejné lekci, 23pds se zaměřil na téma (Cena důvěry: minulé a současné bezpečnosti kryptoměn), v kombinaci s mnohaletým výzkumem bezpečnosti blockchainu a zkušenostmi z reálných případů, systematicky zmapoval vývoj bezpečnostních problémů Web3 a z pohledu útočníka a uživatele analyzoval, proč je důvěra v kryptoměnovém světě často zneužívána a jak by se účastníci odvětví měli snažit budovat dlouhodobé, udržitelné povědomí o bezpečnosti.

Vzhledem k omezením rozsahu tento článek pouze uvádí klíčový obsah analýzy, kompletní obsah je k dispozici ke stažení ve formátu PDF na konci článku.

I. Přehled
V roce 2025 se blockchainový průmysl i nadále rychle vyvíjí, makroekonomické prostředí, regulační nejistoty a intenzita útoků se kombinují a výrazně komplikují celkovou bezpečnostní situaci. Konkrétně, hackerské organizace a podzemní zločin se stávají vysoce specializovanými, hackeři z Koreje jsou často aktivní, trojské koně pro krádež informací, únosy soukromých klíčů a phishingové útoky se stávají hlavními metodami útoků; navíc, správa oprávnění DeFi a vydávání Meme opakovaně vedly k významným ztrátám, služby RaaS/MaaS snížily prahové hodnoty pro zločin, což umožnilo útočníkům bez technického zázemí rychle provádět útoky. Současně se podzemní praní špinavých peněz neustále vyvíjí, skupiny podvodníků v jihovýchodní Asii, nástroje pro ochranu soukromí a zařízení na míchání mincí vytvářejí vícestupňové finanční kanály. Co se týče regulace, země urychlují implementaci rámce AML/CFT, řada mezinárodních policejních akcí zvyšuje efektivitu sledování na blockchainu a zmrazování aktiv, regulace se postupně posouvá od bodových zásahů k systematickému potlačování, právní hranice související s ochranou soukromí jsou také znovu definovány, s větším důrazem na rozlišení technických atributů a zločinných účelů.

自慢雾(SlowMist) 上线 MistTrack 被盗表单提交功能以来，我们每天都会收到大量受害者的求助信息，希望我们提供资金追踪和挽救的帮助，其中不乏丢失上千万美金的大额受害者。基于此，本系列通过对每个季度收到的被盗求助进行统计和分析，旨在以脱敏后的真实案例剖析常见或罕见的作恶手法，帮助行业参与者更好地理解和防范安全风险，保护自己的资产。
Podle statistik tým MistTrack obdržel ve čtvrtém čtvrtletí 2025 celkem 300 zpráv o krádežích, včetně 210 domácích a 90 zahraničních, pro které jsme poskytli bezplatné hodnotící komunitní služby. (Ps. Tato data se týkají pouze případů zaslaných prostřednictvím formulářů, nezahrnují případy kontaktované prostřednictvím e-mailu nebo jiných kanálů)

pozadí
V Pekingu dnes brzy ráno @zachxbt na kanálu zveřejnil zprávu, že „někteří uživatelé Trust Wallet hlásí, že v průběhu posledních několika hodin byly prostředky na jejich peněženkových adresách ukradeny“. Následně také oficiální X Trust Wallet zveřejnil oficiální zprávu, která potvrdila, že rozšíření prohlížeče Trust Wallet verze 2.68 má bezpečnostní riziko a varovala všechny uživatele, kteří používají verzi 2.68, aby okamžitě tuto verzi deaktivovali a aktualizovali na verzi 2.69.

techniky a strategie
Tým bezpečnosti Slow Fog obdržel informace a okamžitě začal analyzovat související vzorky. Nejprve se podívejme na srovnání jádrového kódu verzí 2.67 a 2.68, které byly zveřejněny dříve:

Autor: devět devět
Revize: Kong
Editor: 77
Úvod
Decentralizované perpetualní smlouvy replikují na řetězci vysoce pákové derivátové obchodování prostřednictvím mechanismů „sdílené likvidity“ a „cenění pomocí oracle“. Na rozdíl od AMM spotového obchodování zahrnuje systém perpetualních smluv složité výpočty marží, dynamické úpravy zisků a ztrát a likvidační hry. I drobné logické odchylky - ať už jde o zaokrouhlení přesnosti ceny nebo zpoždění aktualizace oracle - mohou vést k tomu, že protokol bude insolventní nebo že uživatelská aktiva ztratí hodnotu.
Tento manuál má za cíl dekonstruovat jádrovou architekturu těchto systémů, analyzovat rizikové scénáře a poskytnout praktický kontrolní seznam pro auditory bezpečnosti chytrých smluv nebo výzkumníky bezpečnosti blockchainu.

Nedávno, s tím, jak několik renomovaných médií v Hongkongu postupně zveřejnilo přehled a shrnutí prvních výsledků pilotního programu „Blockchain a digitální aktivní podpora“ v Cyberportu, byl systém sledování proti praní špinavých peněz MistTrack, vyvinutý společností SlowMist, jako jeden z vybraných projektů, také dále uznán za praktický výsledek v oblasti bezpečnosti a shody digitálních aktiv.

https://dw-media.tkww.hk/epaper/wwp/20251211/b01-1211.pdf
Pokrok a dílčí výsledky aplikace MistTrack

„Program pilotní podpory blockchainu a digitálních aktiv“ byl oficiálně spuštěn letos v červnu a má za cíl podpořit příklady a vysoce vlivné aplikace blockchainu a digitálních aktiv v reálném prostředí. Program vyvolal velký ohlas a obdržel více než 200 žádostí, z nichž pouze 9 projektů bylo úspěšně vybráno, přičemž první fáze zahrnovala aktivum přesahující 120 milionů HKD. Ředitel blockchainu a digitálních aktiv v Cyberportu, Li Yi Zheng, uvedl, že téměř polovina vybraných pilotních produktů byla úspěšná nebo se připravuje na komercializaci, což ukazuje na značný úspěch programu při podpoře inovativních aplikací. Mezi nimi byl SlowMist jasně uveden jako reprezentativní projekt „nástroje pro bezpečnost a shodu digitálních aktiv“.

Nedávno zveřejnila celosvětově známá blockchainová média Cointelegraph speciální reportáž s názvem (Setkejte se s on-chain kryptografickými detektivy, kteří bojují proti zločinu lépe než policie), která se zaměřuje na detektivy a výzkumníky v oblasti kryptobezpečnosti. Zakladatel SlowMist, Cos (余弦), jako jeden z respondentů, sdílel procesy týmu při řešení významných bezpečnostních incidentů, produktový systém a pozorování bezpečnostní situace v oboru.

Rychlost je prvořadým cílem bezpečnosti.
Cos v rozhovoru představil standardizovaný mechanismus reakce na incidenty ve SlowMist. Uvedl, že on-chain útoky obvykle vykazují rysy "rychlého šíření, širokého přesahu a velmi krátkého okna", a proto rychlost reakce téměř určuje konečný limit ztrát. "Jakmile k incidentu dojde, okamžitě zahájíme operační místnost, cílem je co nejrychleji sledovat, kontrolovat a vydat varování." V prostředí operační místnosti tým rychle rozdělí úkoly podle cesty útoku, například sledování na blockchainu, analýzu infrastruktury, hodnocení rizik domén a monitorování sekundárních útoků. Jak incident postupuje, důvěryhodní projektanti, burzy, spolupracující týmy a oběti se postupně připojují, sdílejí informace, koordinují akce a současně přísně kontrolují riziko úniku informací. Cos také přiznal, že na začátku incidentu musí profesionální bezpečnostní týmy postupovat jako první: "Rychlost zapojení orgánů činných v trestním řízení je relativně pomalá, potřebují čas na shromažďování důkazů, zatímco útok může způsobit obrovské ztráty během několika minut, takže potřebujeme rychlost, musíme jednat dříve, než dojde k větším ztrátám." To také vysvětluje, proč bezpečnostní týmy v oboru často nesou nejdříve a největší tlak na reakci.

Autor: Jiu Jiu & Lisa
Editoři: 77
Pozadí

1. prosince 2025 byla napadena osvědčená decentralizovaná protokol pro agregaci výnosů Yearn, což vedlo k ztrátě přibližně 9 milionů dolarů. Následuje konkrétní analýza bezpečnostního týmu SlowMist k této události:

Hlavní příčina
V kontraktu yETH Weighted Stableswap Pool v Yearn logika funkce pro výpočet nabídky (_calc_supply) kvůli použití nebezpečné matematické operace umožnila, aby při výpočtu došlo k přetečení a zaokrouhlování, což vedlo k vážným odchylkám při výpočtu nové nabídky a součinu virtuálního zůstatku, což konečně umožnilo útočníkům manipulovat s likviditou na určitou hodnotu a vytvářet tak více než očekávané množství LP tokenů pro zisk.

Autor: Lisa & Johan
Editoři: 77
Pozadí
Nedávno jsme obdrželi žádost od uživatele, který se stal obětí phishingového útoku. Tento uživatel zjistil, že ve své peněžence jsou neobvyklé záznamy o autorizaci, pokusil se odvolat autorizaci, ale nebylo to možné, a poskytl adresu peněženky 9w2e3kpt5XUQXLdGb51nRWZoh4JFs6FL7TdEYsvKq6Wb. Na základě analýzy na blockchainu jsme zjistili, že oprávnění vlastníka účtu tohoto uživatele byla převedena na adresu GKJBELftW5Rjg24wP88NRaKGsEBtrPLgMiv3DhbJwbzQ. Kromě toho uživatel ztratil majetek v hodnotě přes 3 miliony dolarů, a další majetek v hodnotě přibližně 2 miliony dolarů je uložen v DeFi protokolu, ale nelze jej převést (v současnosti byl tento část majetku v hodnotě přibližně 2 miliony dolarů úspěšně zachráněn s pomocí příslušného DeFi).

Autor: 77
Redakce: 77
19. listopadu 2025 oznámilo ministerstvo financí USA, Úřad pro kontrolu zahraničních aktiv (OFAC), Ministerstvo zahraničních věcí a obchodu Austrálie (DFAT) a Ministerstvo zahraničních věcí, Commonwealthu a rozvojových záležitostí Spojeného království (FCDO) společnou novou vlnu sankcí proti několika ruským poskytovatelům služeb Bulletproof Hosting (BPH) a souvisejícím jednotlivcům. Důvodem jsou jejich podpory kybernetické kriminality, včetně ransomwaru. Hlavními cíli sankcí jsou vedoucí pracovníci Media Land a jejich přidružené subjekty, stejně jako klíčoví členové Aeza Group a související krycí společnosti.
（https://home.treasury.gov/news/press-releases/sb0319）

Autor: Joker & Ccj
Editor: 77
Pozadí
Nedávno došlo v komunitě NPM k dalšímu rozsáhlému útoku na NPM balíčky, tento incident je vysoce spojen s útokem Shai-Hulud z září 2025, škodlivý kód v tomto NPM balíčku krade klíče vývojářů a API klíče a citlivé informace, jako jsou proměnné prostředí, a využívá klíče k vytvoření veřejného úložiště a nahrání těchto ukradených citlivých informací.
Nástroj pro hrozby a dynamické bezpečnostní monitorování MistEye vyvinutý SlowMist reaguje okamžitě, rychle poskytuje související informace o hrozbách a poskytuje zákazníkům klíčové bezpečnostní záruky.

V nedávné době vydal více stranový monitorovací tým sankcí (dále jen „MSMT“) zprávu s názvem (DPRK porušování a obcházení sankcí OSN prostřednictvím aktivit pracovníků v oblasti internetu a informačních technologií). Tato zpráva systematicky mapuje, jak Demokratická lidová republika Korea (DPRK) využívá sílu internetu, pracovníky v oblasti informačních technologií a aktivity s kryptoměnami k obcházení sankcí OSN, krádeži citlivých technologií a získávání financí. Tento článek shrnuje klíčový obsah zprávy, aby pomohl čtenářům rychle pochopit vývoj trendů a změn metod DPRK v oblasti kybernetických hrozeb, čímž se zvyšuje jejich schopnost rozpoznávat a předcházet složitým hrozbám v oblasti kybernetické bezpečnosti.

21. listopadu se v Hongkongu konal slavnostní ceremoniál udílení cen 2025 Hongkongských cen za informační a komunikační technologie (HKICT Awards 2025), pořádaný Úřadem pro digitální politiku vlády Hongkongu, kde systém pro sledování praní špinavých peněz MistTrack, patřící SlowMist, získal zlatou cenu v kategorii FinTech (regulační technologie: regulace a řízení rizik).

Partner a CPO SlowMist - Keywolf, byl pozván, aby se zúčastnil slavnostního ceremoniálu a pronesl projev k ocenění, čímž společně s hosty z vlády, regulačních orgánů a finančního sektoru svědčil o této chvíli.

Toto ocenění je nejen potvrzením schopností a skutečné hodnoty technologie MistTrack, ale také odrazem dlouholetého úsilí SlowMist v oblasti bezpečnosti blockchainu a boje proti praní špinavých peněz, a poskytuje silnou podporu pro regulovaný rozvoj fintech a digitálních aktiv v Hongkongu.

Pozadí
S rostoucí popularitou soutěže v obchodování s AI velkými modely začalo stále více kryptokomunit a vývojářů zkoušet automatizované obchodování poháněné AI, přičemž mnoho open-source řešení bylo rychle nasazeno. Nicméně, tyto projekty nejsou bez bezpečnostních rizik.

NOFX AI je open-source automatizovaný obchodní systém pro kryptoměnové futures založený na DeepSeek/Qwen AI, který podporuje burzy jako Binance, Hyperliquid a Aster DEX. Tým bezpečnosti Slow Mist obdržel počáteční informace od @Endlessss20 a má podezření, že tento systém by mohl vést k únikům API klíčů burzy, a proto provedl bezpečnostní analýzu.

Autoři: 77 & Lisa
编辑：77
4. listopadu 2025 oznámilo Úřad pro kontrolu zahraničních aktiv ministerstva financí USA (OFAC) novou vlnu sankcí proti řadě bankovních zaměstnanců a finančních institucí v Severní Koreji. Tato akce zmrazila všechny aktiva 8 jednotlivců a 2 subjektů na území USA nebo pod kontrolou Američanů. Tito jednotlivci a subjekty byli obviněni z financování severokorejského režimu prostřednictvím kybernetické kriminality, podvodů s pracovní silou v oblasti informačních technologií (IT) a dalších metod na podporu jeho jaderného a raketového programu.

https://home.treasury.gov/news/press-releases/sb0302
Podrobnosti o sankcích

3. listopadu, pod záštitou Hongkongského úřadu pro hospodářské záležitosti a finance, Hongkongského úřadu pro obchod a ekonomický rozvoj a Hongkongské agentury pro investice, a ve spolupráci s Hongkongskou měnovou autoritou, Hongkongskou komisí pro cenné papíry a futures a Hongkongským úřadem pro regulaci pojišťovnictví, se slavnostně otevírá „Desátý Hongkong Fintech Week 2025“ v Hongkongském kongresovém a výstavním centru.

Jako jedna z předních globálních finančních technologií se tato Fintech Week zaměřuje na téma „Dynamizace nové éry finančních technologií“, přitahuje více než 37 000 účastníků z více než 100 ekonomik, přibližně 800 řečníků, více než 700 vystavovatelů a přes 30 mezinárodních a pevninských čínských delegací, což znovu potvrzuje silnou přitažlivost a inovační energii Hongkongu jako globálního centra finančních technologií.

Autor: Kong & Lisa
Editor: 77
Pozadí
3. listopadu 2025 byla napadena zavedená decentralizovaná automatická market-making protokol Balancer v2, přičemž několik projektů včetně jeho fork protokolu ztratilo na několika řetězcích přibližně 120 milionů dolarů, což ještě zhoršilo již tak slabou situaci v ekosystému DeFi. Následuje konkrétní analýza bezpečnostního týmu SlowMist k této události útoku:
Základní příčina
Implementace Composable Stable Pool v Balancer v2 (založeno na Stable Math Curve StableSwap) má problém s přesností celočíselného pevného výpočtu škálovacích faktorů (scalingFactors), což vede k malým, ale kumulativním rozdílům/chybám při výměně tokenů. Útočníci využívají malých výměn při nízké likviditě k zesílení této chyby a dosahují tak významného kumulativního zisku.

V listopadu 2025 se Hongkong stane globálním centrem pro fintech a Web3. Jako společnost specializující se na bezpečnost blockchainového ekosystému, SlowMist se představí na Hongkong FinTech Week a na několika akcích v oblasti Web3, kde se zaměří na klíčová témata jako jsou bezpečnost blockchainu, regulační rizika a prevenci praní špinavých peněz (AML), a podělí se o nejnovější výzkumné výsledky a praktické zkušenosti.
Hongkong FinTech Week 2025 x StartmeupHK Startup Festival
Hongkong FinTech Week 2025 x StartmeupHK Startup Festival se uskuteční od 3. do 7. listopadu v Hongkongském kongresovém a výstavním centru. Jako nejprestižnější akce v oblasti inovací v Hongkongu je Hongkong FinTech Week 2025 x StartmeupHK Startup Festival společně pořádán Hongkongským ministerstvem financí a pokladny, Hongkongským ministerstvem obchodu a ekonomického rozvoje a Hongkongskou agenturou pro podporu investic, a ve spolupráci s Hongkongskou centrální bankou, Hongkongskou komisí pro cenné papíry a futures a Hongkongským úřadem pro regulaci pojišťovnictví. Akce s tématem "Pohánění nové éry fintechu" očekává účast více než 37 000 účastníků z přes 100 ekonomik, 800 řečníků a více než 700 vystavujících institucí, kteří společně prozkoumají budoucí strukturu a rozvojové příležitosti fintechu.

Autor: Johan & Lisa
Editováno: 77
16. října, DeFi projekt Typus Finance na Sui síti čelil hackerskému útoku, oficiální zpráva o incidentu byla vydána a ve zprávě byla poděkována týmu SlowMist za pomoc při vyšetřování a sledování:

(https://medium.com/@TypusFinance/typus-finance-tlp-oracle-exploit-post-mortem-report-response-plan-ce2d0800808b)
Tento článek se podrobně zabývá příčinami této útoku a zkoumá vlastnosti řízení oprávnění chytrých kontraktů Sui Move.
Podrobný popis kroků útoku
Analyzujeme první transakci útoku:
https://suivision.xyz/txblock/6KJvWtmrZDi5MxUPkJfDNZTLf2DFGKhQA2WuVAdSRUgH