慢雾 SlowMist

Autor: enze & Lisa
Editar: 77
Antecedentes
El 8 de enero de 2026, el protocolo descentralizado de cálculo offline Truebit Protocol fue atacado, y el atacante obtuvo alrededor de 8.535 ETH (aproximadamente 26,44 millones de dólares estadounidenses) aprovechando una vulnerabilidad del contrato. A continuación se presenta un análisis detallado del incidente por parte del equipo de seguridad SlowMist.

Causa raíz
El contrato de compra del protocolo Truebit calculaba la cantidad de ETH necesaria para acuñar tokens TRU, pero debido a la falta de protección contra desbordamiento en la operación de suma entera, el cálculo del precio daba como resultado cero, permitiendo al atacante acuñar una gran cantidad de tokens casi sin costo y extraer los fondos reservados del contrato.

Del 1 al 4 de enero, el proyecto de líderes de Web3 (segunda edición) lanzado por la Global FinTech Academy (GFI) en colaboración con HashKey Group y el Frontier Technology Institute (FTI) se llevó a cabo con éxito en Hong Kong. El 3 de enero, el CISO de SlowMist, 23pds, fue invitado a participar en la clase pública para compartir, intercambiando ideas en profundidad con varios invitados y estudiantes de los campos de finanzas tradicionales, blockchain y tecnología de vanguardia, sobre los desafíos de seguridad y la gobernanza de riesgos en el proceso de desarrollo de Web3.

En esta clase pública, 23pds abordó el tema (El costo de la confianza: la seguridad de las criptomonedas en el pasado y en el presente), combinando años de investigación en seguridad blockchain y experiencia en el manejo de casos reales, sistematizando la evolución de los problemas de seguridad en Web3, y analizando desde las perspectivas de atacantes y usuarios por qué la confianza se malutiliza con frecuencia en el mundo de las criptomonedas, así como cómo los participantes de la industria deben establecer una conciencia de seguridad a largo plazo y sostenible.

Debido a limitaciones de espacio, este artículo solo enumera los contenidos clave del informe de análisis, el contenido completo se puede descargar a través del PDF al final del artículo.

I. Resumen
En 2025, la industria de la cadena de bloques continuará evolucionando rápidamente, la incertidumbre del entorno financiero macroeconómico y la intensidad de los ataques se superponen, lo que hace que la situación de seguridad durante todo el año sea significativamente compleja. En particular, las organizaciones de hackers y el crimen organizado están altamente especializadas, los hackers relacionados con Corea del Norte están activos con frecuencia, y los troyanos de robo de información, la interceptación de claves privadas y el phishing social se han convertido en los principales métodos de ataque; además, la gestión de permisos de DeFi y la emisión de memes han provocado numerosas pérdidas significativas, y los servicios de RaaS/MaaS han reducido la barrera de entrada al crimen, permitiendo que los atacantes sin antecedentes técnicos también puedan llevar a cabo ataques rápidamente. Al mismo tiempo, el sistema de lavado de dinero subterráneo sigue madurando, los grupos de fraude del sudeste asiático, las herramientas de privacidad y las instalaciones de mezcla de monedas constituyen canales de financiación de múltiples niveles. En términos de regulación, los países están acelerando la implementación del marco AML/CFT, múltiples acciones de aplicación de la ley transfronterizas han mejorado la eficiencia del seguimiento en cadena y la congelación de activos, y la regulación ha pasado gradualmente de ataques puntuales a un cerco sistemático, redefiniendo también los límites legales de los protocolos de privacidad, diferenciando más entre la propiedad técnica y el uso criminal.

自慢雾(SlowMist) 上线 MistTrack 被盗表单提交功能以来，我们每天都会收到大量受害者的求助信息，希望我们提供资金追踪和挽救的帮助，其中不乏丢失上千万美金的大额受害者。基于此，本系列通过对每个季度收到的被盗求助进行统计和分析，旨在以脱敏后的真实案例剖析常见或罕见的作恶手法，帮助行业参与者更好地理解和防范安全风险，保护自己的资产。
Según las estadísticas, el equipo de MistTrack recibió un total de 300 formularios de robo en el cuarto trimestre de 2025, incluidos 210 formularios nacionales y 90 formularios extranjeros. Ofrecimos un servicio comunitario de evaluación gratuito para estos formularios. (Ps. Estos datos solo se refieren a casos provenientes de formularios enviados, excluyendo casos contactados a través de correo electrónico u otros canales)

Fondo
En la madrugada de hoy, hora de Beijing, @zachxbt publicó un mensaje en el canal diciendo "Algunos usuarios de Trust Wallet informan que en las últimas horas, los fondos en las direcciones de sus billeteras han sido robados". Posteriormente, Trust Wallet también publicó un mensaje oficial en X, confirmando que la versión 2.68 de la extensión del navegador de Trust Wallet presenta riesgos de seguridad, advirtiendo a todos los usuarios que están utilizando la versión 2.68 que deben deshabilitar esa versión e actualizar a la 2.69.

Tácticas y técnicas
El equipo de seguridad de SlowMist, tras recibir la información, analizó de inmediato las muestras relevantes. Primero veamos la comparación del código base entre las versiones 2.67 y 2.68 que se publicaron anteriormente:

Autor: 九九
Revisado por: Kong
Editor: 77
Introducción
Los contratos perpetuos descentralizados replican el comercio de derivados de alto apalancamiento en la cadena a través de mecanismos de "liquidez compartida" y "precio de oráculos". A diferencia del comercio spot de AMM, el sistema de contratos perpetuos implica cálculos complejos de margen, ajustes dinámicos de ganancias y pérdidas y juegos de liquidación. Un pequeño sesgo lógico, ya sea por el redondeo de la precisión del precio o por la demora en la actualización de los oráculos, puede llevar a que el protocolo quede insolvente o a que los activos de los usuarios se reduzcan a cero.
Este manual tiene como objetivo descomponer la arquitectura central de este tipo de sistemas, analizar escenarios de riesgo y proporcionar una lista de verificación de auditoría práctica para auditores de seguridad de contratos inteligentes o investigadores de seguridad de blockchain.

Recientemente, a medida que varios medios de comunicación autorizados de Hong Kong han comenzado a publicar revisiones y resúmenes sobre los resultados iniciales del "Programa de Subsidios para Pruebas de Blockchain y Activos Digitales" de Cyberport Hong Kong, el sistema de seguimiento de lavado de dinero de blockchain MistTrack, desarrollado de forma independiente por SlowMist, ha recibido un reconocimiento adicional por sus resultados prácticos en el campo de la seguridad y el cumplimiento de activos digitales.

https://dw-media.tkww.hk/epaper/wwp/20251211/b01-1211.pdf
Progreso en la aplicación de MistTrack y resultados intermedios

El "Programa de Subsidios para Pruebas de Blockchain y Activos Digitales" se lanzó oficialmente en junio de este año, con el objetivo de apoyar aplicaciones de blockchain y activos digitales que sean ejemplares y de alto impacto para probar y aterrizar en un entorno real. La respuesta al programa ha sido entusiasta, recibiendo más de 200 solicitudes, de las cuales solo 9 proyectos fueron finalmente seleccionados, abarcando un tamaño de activos que supera los 120 millones de dólares hongkoneses. Li Yizheng, director de blockchain y activos digitales de Cyberport, afirmó que cerca de la mitad de los productos seleccionados para el programa piloto ya han tenido éxito o están en proceso de comercialización, lo que demuestra la efectividad del programa en impulsar la implementación de aplicaciones innovadoras. Entre ellos, SlowMist se ha destacado como un proyecto representativo de "herramientas de seguridad y cumplimiento para activos digitales".

Recientemente, el conocido medio de comunicación de blockchain a nivel mundial Cointelegraph publicó un informe titulado (Meet the onchain crypto detectives fighting crime better than the cops), que se centra en los detectives y investigadores de seguridad en la cadena de la industria cripto. Cos (余弦), fundador de SlowMist, como uno de los entrevistados, compartió el proceso de manejo de su equipo en eventos de seguridad importantes, el sistema de productos y su observación sobre la situación de seguridad en la industria.

La velocidad es la primera prioridad de la seguridad
Cos presentó en la entrevista el mecanismo de respuesta a incidentes estandarizado de SlowMist. Señaló que los ataques en la cadena generalmente tienen las características de "difusión rápida, amplia en múltiples cadenas y con una ventana extremadamente corta", por lo que la velocidad de respuesta casi determina el límite superior de las pérdidas finales del evento. "Una vez que ocurre un evento, inmediatamente activamos la sala de operaciones, con el objetivo de rastrear, controlar y emitir alarmas lo más rápido posible." En el entorno de la sala de operaciones, el equipo se dividirá rápidamente según la ruta de ataque, como el rastreo en la cadena, el análisis de infraestructura, la evaluación de riesgos de dominio y la monitorización de ataques secundarios. A medida que avanza el evento, los proyectos confiables, los intercambios, los equipos de colaboración y las víctimas se unirán uno tras otro, compartiendo información, sincronizando acciones y controlando estrictamente el riesgo de filtración de información. Cos también admitió que, en la fase inicial del evento, el equipo de seguridad profesional debe actuar primero: "La velocidad de intervención de las agencias de aplicación de la ley es relativamente lenta, necesitan tiempo para recopilar pruebas, mientras que un ataque puede causar enormes pérdidas en cuestión de minutos, por lo que necesitamos velocidad, debemos actuar antes de que ocurran pérdidas mayores." Esto también explica por qué los equipos de seguridad en la industria a menudo soportan la presión de respuesta más temprana y más pesada.

Autor: 九九 & Lisa
Editor: 77
Fondo

1 de diciembre de 2025, el veterano protocolo de agregación de ingresos descentralizado Yearn fue atacado, con pérdidas de aproximadamente 9 millones de dólares. A continuación se presenta un análisis detallado del equipo de seguridad SlowMist sobre este incidente de ataque:

Causa raíz
En el contrato del Pool de Stableswap Ponderado yETH de Yearn, la lógica de la función que calcula la oferta (_calc_supply) utilizó un método de cálculo inseguro, permitiendo que se produjeran desbordamientos y redondeos durante el cálculo, lo que llevó a una desviación significativa al calcular la nueva oferta y el producto del saldo virtual, permitiendo finalmente que el atacante manipulara la liquidez a un valor específico y acuñara una cantidad de tokens LP superior a la esperada para obtener ganancias.

作者：Lisa & Johan
编辑：77
背景
Recientemente, recibimos la solicitud de ayuda de un usuario que fue víctima de un ataque de phishing ese día. Este usuario descubrió registros de autorización anómalos en su billetera, intentó revocar la autorización pero no pudo completar el proceso, y proporcionó la dirección de la billetera afectada 9w2e3kpt5XUQXLdGb51nRWZoh4JFs6FL7TdEYsvKq6Wb. A través de un análisis en la cadena, descubrimos que los derechos de propietario de la cuenta de este usuario se habían transferido a la dirección GKJBELftW5Rjg24wP88NRaKGsEBtrPLgMiv3DhbJwbzQ. Además, el usuario ya había perdido activos por un valor superior a 3 millones de dólares, y otros activos valorados en aproximadamente 2 millones de dólares estaban en protocolos DeFi, pero no se podían transferir (actualmente, esos activos valorados en aproximadamente 2 millones de dólares han sido salvados con la ayuda del DeFi relacionado).

Autor: 77
Editor: 77
El 19 de noviembre de 2025, la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de EE. UU. (OFAC), el Departamento de Relaciones Exteriores y Comercio de Australia (DFAT) y el Ministerio de Relaciones Exteriores y de la Mancomunidad y Desarrollo del Reino Unido (FCDO) anunciaron conjuntamente una nueva ronda de sanciones contra varios proveedores de servicios de alojamiento a prueba de balas (Bulletproof Hosting, BPH) en Rusia y personas relacionadas. La razón es su apoyo a actividades delictivas en línea, incluida la ransomware. Los principales objetivos de las sanciones incluyen a los principales responsables de Media Land y sus entidades asociadas, así como a miembros clave del Grupo Aeza y empresas fachada relacionadas.
（https://home.treasury.gov/news/press-releases/sb0319）

Autor: Joker & Ccj
Editor: 77
Fondo
Recientemente, la comunidad de NPM ha vuelto a sufrir un ataque masivo de envenenamiento de paquetes de NPM, este incidente está altamente relacionado con el ataque de Shai-Hulud de septiembre de 2025. El código malicioso en este paquete de NPM roba claves de desarrollador, claves de API y variables de entorno, entre otra información sensible, utilizando las claves para crear repositorios públicos y subir esta información sensible robada.
SlowMist, herramienta de inteligencia de amenazas y monitoreo de seguridad dinámica desarrollada de forma independiente, responde de inmediato con MistEye, enviando rápidamente inteligencia de amenazas relevantes y proporcionando a los clientes una garantía de seguridad clave.

Recientemente, el Grupo de Monitoreo de Sanciones Multilaterales (en adelante, “MSMT”) publicó un informe titulado “DPRK a través de actividades de trabajadores de tecnología de la información y redes que violan y eluden las sanciones de las Naciones Unidas”. Este informe sistematiza el panorama de cómo la República Popular Democrática de Corea (DPRK) utiliza el poder de la red, trabajadores de tecnología de la información y actividades de criptomonedas para eludir las sanciones de las Naciones Unidas, robar tecnología sensible y recaudar fondos. Este artículo resumirá el contenido central del informe, ayudando a los lectores a comprender rápidamente las tendencias en el desarrollo de las amenazas cibernéticas de la DPRK y los cambios en las técnicas, mejorando así la cognición y la capacidad de prevención frente a amenazas complejas de ciberseguridad.

El 21 de noviembre, la ceremonia de entrega de premios de los Premios de Tecnología de la Información y la Comunicación de Hong Kong 2025 (HKICT Awards 2025), organizado por la Oficina de Políticas Digitales del Gobierno de la Región Administrativa Especial de Hong Kong, se llevó a cabo con gran pompa en el Centro de Convenciones y Exposiciones de Hong Kong. El sistema de seguimiento de lavado de dinero de blockchain MistTrack, de SlowMist, recibió el premio de oro en la categoría de tecnología financiera (tecnología regulatoria: regulación y gestión de riesgos).

Keywolf, socio y CPO de SlowMist, fue invitado a asistir a la ceremonia y pronunciar un discurso de aceptación, junto con invitados del gobierno, organismos reguladores y el sector financiero, para atestiguar este momento.

Este premio no solo es un reconocimiento a la capacidad técnica y el valor práctico de MistTrack, sino que también refleja los logros de SlowMist en el campo de la seguridad blockchain y la lucha contra el lavado de dinero tras años de dedicación, y al mismo tiempo proporciona un fuerte apoyo al desarrollo conforme de la industria de tecnología financiera y activos digitales en Hong Kong.

Fondo
Con el aumento de las competiciones de trading en tiempo real con grandes modelos de IA, cada vez más comunidades de criptomonedas y desarrolladores están comenzando a experimentar con trading automatizado impulsado por IA, y muchas soluciones de código abierto también se están utilizando rápidamente. Sin embargo, estos proyectos no están exentos de riesgos de seguridad.

NOFX AI es un sistema de trading automático de futuros de criptomonedas basado en DeepSeek/Qwen AI, que soporta intercambios como Binance, Hyperliquid y Aster DEX. El equipo de seguridad de Slow Mist recibió información inicial de @Endlessss20, sospechando que este sistema podría causar filtraciones de claves API de intercambios, por lo que se llevó a cabo un análisis de seguridad.

Autores: 77 & Lisa
编辑：77
El 4 de noviembre de 2025, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU. anunció una nueva ronda de sanciones contra varios empleados bancarios y entidades financieras de Corea del Norte. Esta acción congeló todos los activos de 8 individuos y 2 entidades dentro de EE. UU. o controlados por estadounidenses. Estas personas y entidades fueron acusadas de recaudar fondos para el régimen de Corea del Norte a través de cibercrimen, fraude laboral en tecnología de la información (TI) y otros medios, para apoyar su programa de armas nucleares y misiles.

https://home.treasury.gov/news/press-releases/sb0302
Detalles de las sanciones

El 3 de noviembre, la 'Décima Semana de Tecnología Financiera de Hong Kong' (Hong Kong Fintech Week 2025), coorganizada por la Oficina de Asuntos Financieros y del Tesoro de Hong Kong, la Oficina de Comercio y Desarrollo Económico de Hong Kong y la Oficina de Promoción de Inversiones de Hong Kong, y organizada conjuntamente por la Autoridad Monetaria de Hong Kong, la Comisión de Valores y Futuros de Hong Kong y la Oficina de Regulación de la Industria de Seguros de Hong Kong, se inauguró solemnemente en el Centro de Convenciones y Exposiciones de Hong Kong.

Como uno de los eventos de tecnología financiera líderes a nivel mundial, esta edición de la Semana de Tecnología Financiera tiene como tema “Impulsando una Nueva Era de Tecnología Financiera”, atrayendo a más de 37,000 participantes de más de 100 economías, alrededor de 800 ponentes, más de 700 instituciones expositoras y más de 30 delegaciones internacionales y de China continental, reafirmando una vez más el fuerte atractivo y la vitalidad innovadora de Hong Kong como un centro global de tecnología financiera.

Autor: Kong & Lisa
Editor: 77
Fondo
El 3 de noviembre de 2025, el antiguo protocolo de creador de mercado descentralizado Balancer v2 fue atacado, incluyendo varios proyectos de su fork, con pérdidas de aproximadamente 120 millones de dólares en múltiples cadenas, lo que agravó aún más un ecosistema DeFi ya poco saludable. A continuación se presenta el análisis específico del equipo de seguridad Slow Mist sobre este incidente de ataque:
Causa raíz
En la implementación del Composable Stable Pool de Balancer v2 (basado en la Stable Math de Curve StableSwap), existe un problema de pérdida de precisión en las operaciones de punto fijo enteras de los factores de escalado (scalingFactors), lo que provoca pequeñas diferencias/errores en el intercambio de tokens, que pueden acumularse de manera compuesta. Los atacantes aprovechan los intercambios de bajo volumen en condiciones de baja liquidez para amplificar este error y obtener ganancias acumulativas significativas.

En noviembre de 2025, Hong Kong se convertirá en el foco mundial de la tecnología financiera y Web3. Como una empresa de inteligencia de amenazas centrada en la seguridad del ecosistema blockchain, SlowMist se presentará en la Semana de la Tecnología Financiera de Hong Kong y en varios eventos de la industria Web3, abordando temas clave como la seguridad en blockchain, el cumplimiento normativo y la lucha contra el lavado de dinero (AML), compartiendo los últimos resultados de investigación y experiencias prácticas.
La Semana de la Tecnología Financiera de Hong Kong 2025 x Festival de StartmeupHK
La Semana de la Tecnología Financiera de Hong Kong 2025 x Festival de StartmeupHK se llevará a cabo del 3 al 7 de noviembre en el Centro de Convenciones y Exposiciones de Hong Kong. Como el evento líder en innovación tecnológica de Hong Kong, la Semana de la Tecnología Financiera de Hong Kong 2025 x Festival de StartmeupHK es coorganizado por la Oficina de Asuntos Económicos y de Finanzas de Hong Kong, la Oficina de Comercio y Desarrollo Económico de Hong Kong y la Oficina de Promoción de Inversiones de Hong Kong, y es copatrocinado por la Autoridad Monetaria de Hong Kong, la Comisión de Valores y Futuros de Hong Kong y la Autoridad de Regulación de la Industria de Seguros de Hong Kong. El evento, bajo el lema 'Impulsar una Nueva Era de Tecnología Financiera', se espera que atraiga a más de 37,000 participantes, 800 ponentes y más de 700 instituciones expositoras de más de 100 economías, para discutir el futuro y las oportunidades de desarrollo de la tecnología financiera.

Autor：Johan & Lisa
编辑：77
El 16 de octubre, el proyecto DeFi Typus Finance en la cadena Sui fue atacado por hackers, el oficial ya ha publicado un informe sobre el incidente de ataque y agradeció al equipo de seguridad de Slow Mist por su ayuda en la investigación y seguimiento:

(https://medium.com/@TypusFinance/typus-finance-tlp-oracle-exploit-post-mortem-report-response-plan-ce2d0800808b)
本文将深入分析本次攻击的原因，并探讨 Sui Move 智能合约的权限控制的特点。
Detalles del paso del ataque
Analizamos la primera transacción de ataque：
https://suivision.xyz/txblock/6KJvWtmrZDi5MxUPkJfDNZTLf2DFGKhQA2WuVAdSRUgH