慢雾 SlowMist

Auteur : enze & Lisa
Éditer : 77
Contexte
Le 8 janvier 2026, le protocole décentralisé de calcul hors ligne Truebit Protocol a été attaqué, l'attaquant ayant profité d'une faille du contrat pour réaliser un gain d'environ 8 535 ETH (environ 26,44 millions de dollars américains). Voici une analyse détaillée de cet incident par l'équipe de sécurité SlowMist.

Cause fondamentale
Le contrat d'achat du protocole Truebit calcule le nombre d'ETH requis pour l'émission de jetons TRU, mais en raison de l'absence de protection contre les dépassements dans l'opération d'addition d'entiers, le résultat du calcul du prix devient anormalement zéro, permettant à l'attaquant de créer un grand nombre de jetons presque gratuitement et d'extraire les réserves du contrat.

Du 2 janvier au 4 janvier, le projet de leaders Web3 (session 2) lancé par l'Institut mondial des technologies financières (GFI) en collaboration avec HashKey Group et l'Institut de recherche sur les technologies de pointe (FTI) s'est déroulé avec succès à Hong Kong. Le 3 janvier, le CISO de SlowMist, 23pds, a été invité à participer au cours public et a partagé avec plusieurs invités et étudiants issus des domaines de la finance traditionnelle, de la blockchain et des technologies de pointe, un échange approfondi sur les défis de sécurité et les questions de gouvernance des risques dans le processus de développement de Web3.

Lors de ce cours public, 23pds a pour thème (Le prix de la confiance : La sécurité des cryptomonnaies à travers le temps), combinant des années de recherche sur la sécurité de la blockchain et l'expérience dans le traitement de cas réels, a systématiquement révisé l'évolution des problèmes de sécurité de Web3, et a analysé, du point de vue des attaquants et des utilisateurs, pourquoi la confiance est souvent abusée dans le monde des cryptos, ainsi que comment les acteurs de l'industrie devraient établir une prise de conscience de la sécurité à long terme et durable.

En raison de la limite de longueur, cet article ne présente que les points clés du rapport d'analyse, le contenu complet peut être téléchargé en PDF à la fin de l'article.

I. Aperçu
En 2025, l'industrie de la blockchain continue d'évoluer rapidement, avec un environnement financier macroéconomique, une incertitude réglementaire et une intensité d'attaques qui s'additionnent, rendant la situation de sécurité globale nettement plus complexe. Plus précisément, les organisations de hackers et la criminalité souterraine sont hautement spécialisées, les hackers liés à la Corée du Nord sont fréquemment actifs, les chevaux de Troie de vol d'informations, le vol de clés privées et le phishing social deviennent les principaux moyens d'attaque ; de plus, la gestion des droits DeFi et l'émission de Meme ont plusieurs fois entraîné des pertes importantes, les services RaaS/MaaS ont abaissé le seuil d'entrée pour la criminalité, permettant aux attaquants sans formation technique de mener rapidement des attaques. Parallèlement, le système de blanchiment d'argent souterrain continue de mûrir, les groupes de fraude en Asie du Sud-Est, les outils de confidentialité et les installations de mélange de pièces constituent des canaux de financement à plusieurs niveaux. En ce qui concerne la réglementation, les pays accélèrent la mise en œuvre des cadres AML/CFT, plusieurs actions d'application transfrontalières ont amélioré l'efficacité de la traçabilité sur la chaîne et du gel des actifs, la réglementation passe progressivement d'une frappe ponctuelle à un blocage systématique, les frontières juridiques des protocoles de confidentialité sont également redéfinies, différenciant davantage les attributs techniques des usages criminels.

自慢雾(SlowMist) 上线 MistTrack 被盗表单提交功能以来，我们每天都会收到大量受害者的求助信息，希望我们提供资金追踪和挽救的帮助，其中不乏丢失上千万美金的大额受害者。基于此，本系列通过对每个季度收到的被盗求助进行统计和分析，旨在以脱敏后的真实案例剖析常见或罕见的作恶手法，帮助行业参与者更好地理解和防范安全风险，保护自己的资产。
Selon les statistiques, l'équipe MistTrack a reçu 300 formulaires de vol au cours du quatrième trimestre 2025, dont 210 formulaires nationaux et 90 formulaires étrangers. Nous avons fourni un service d'évaluation communautaire gratuit pour ces formulaires. (Ps. Ces données ne concernent que les cas soumis via les formulaires, et n'incluent pas les cas contactés par e-mail ou d'autres canaux.)

Contexte
Ce matin à Beijing, @zachxbt a publié un message sur le canal disant "Certains utilisateurs de Trust Wallet rapportent que, au cours des dernières heures, les fonds de leurs adresses de portefeuille ont été volés". Ensuite, Trust Wallet a également publié un message officiel sur X, confirmant qu'il existe un risque de sécurité dans la version 2.68 de l'extension du navigateur Trust Wallet, avertissant tous les utilisateurs utilisant la version 2.68 de désactiver immédiatement cette version et de passer à la version 2.69.

Technique de combat
L'équipe de sécurité Slow Fog a commencé à analyser les échantillons concernés dès qu'elle a reçu l'information. Regardons d'abord la comparaison du code source des versions 2.67 et 2.68 publiées précédemment :

Auteur : Jiujiumu
Relecture : Kong
Éditeur : 77
Introduction
Les contrats perpétuels décentralisés reproduisent des transactions de produits dérivés à effet de levier élevé sur la chaîne grâce à des mécanismes de « liquidité partagée » et de « tarification par oracle ». Contrairement aux transactions spot AMM, le système de contrats perpétuels implique des calculs de marge complexes, des ajustements dynamiques des gains et des pertes, et des jeux de liquidation. La moindre déviation logique—qu'il s'agisse d'une précision de prix d'arrondi, ou d'un délai de mise à jour de l'oracle—peut entraîner des situations de sous-capitalisation ou la perte totale des actifs des utilisateurs.
Ce manuel vise à décomposer l'architecture fondamentale de tels systèmes, à analyser les scénarios de risque, et à fournir aux auditeurs de sécurité des contrats intelligents ou aux chercheurs en sécurité blockchain une liste de contrôle d'audit pratique.

Récemment, avec la publication progressive par plusieurs médias hongkongais de récapitulatifs et d'analyses des résultats de la première phase du « Plan de financement pilote pour la blockchain et les actifs numériques » de Cyberport Hong Kong, le système de traçage de blanchiment d'argent basé sur la blockchain, MistTrack, développé en interne par SlowMist, a également reçu une reconnaissance supplémentaire pour ses résultats pratiques dans le domaine de la sécurité et de la conformité des actifs numériques en tant que projet sélectionné.

https://dw-media.tkww.hk/epaper/wwp/20251211/b01-1211.pdf
Progrès et résultats intermédiaires de l'application de MistTrack

Le « Plan de financement pilote pour la blockchain et les actifs numériques » a été officiellement lancé en juin de cette année, visant à soutenir les applications de blockchain et d'actifs numériques exemplaires et à fort impact pour tester et mettre en œuvre dans des environnements réels. Le plan a suscité un vif intérêt, avec plus de 200 candidatures reçues, mais seulement 9 projets ont réussi à se qualifier, impliquant un volume d'actifs dépassant 1,2 milliard de dollars hongkongais. Le directeur de la blockchain et des actifs numériques de Cyberport, Li Yizheng, a déclaré que près de la moitié des produits pilotes sélectionnés ont réussi ou sont en voie de commercialisation, ce qui montre l'efficacité de ce plan pour promouvoir l'application des innovations. Parmi eux, SlowMist a été clairement identifié comme un projet représentatif d'un « outil de sécurité et de conformité pour les actifs numériques ».

Récemment, le célèbre média blockchain Cointelegraph a publié un reportage intitulé (Meet the onchain crypto detectives fighting crime better than the cops), se concentrant sur les détectives et chercheurs en sécurité crypto de l'industrie. Cos (余弦), fondateur de SlowMist, en tant qu'un des interviewés, a partagé le processus de traitement de l'équipe lors des événements de sécurité majeurs, le système de produits, ainsi que ses observations sur la situation de sécurité dans l'industrie.

La vitesse est la première priorité de la sécurité
Cos a introduit lors de l'interview le mécanisme de réponse aux incidents standardisé de SlowMist. Il a souligné que les attaques en chaîne ont généralement des caractéristiques de "diffusion rapide, large portée inter-chaînes, et fenêtre très courte", donc la vitesse de réponse détermine presque la limite supérieure des pertes finales de l'incident. "Dès qu'un incident se produit, nous ouvrons immédiatement la salle d'opération, notre objectif est de traquer, contrôler et alerter le plus rapidement possible." Dans l'environnement de la salle d'opération, l'équipe se répartit rapidement en fonction des chemins d'attaque, par exemple, le suivi en chaîne, l'analyse des infrastructures, l'évaluation des risques de nom de domaine et la surveillance des attaques secondaires, etc. Au fur et à mesure que l'incident progresse, des partenaires de projet dignes de confiance, des échanges, des équipes partenaires et des victimes rejoignent progressivement, partageant des informations et agissant en synchronisation, tout en contrôlant strictement le risque de fuite d'informations. Cos a également avoué qu'au début de l'incident, l'équipe de sécurité professionnelle doit agir en premier : "L'intervention des forces de l'ordre est relativement lente, elles ont besoin de temps pour collecter des preuves, tandis qu'une attaque peut causer d'énormes pertes en quelques minutes, donc nous avons besoin de vitesse, nous devons agir avant qu'une perte plus importante ne se produise." Cela explique également pourquoi les équipes de sécurité dans l'industrie supportent souvent la pression de réponse la plus précoce et la plus lourde.

Auteur : 九九 & Lisa
Éditeur : 77
Contexte

Le 1er décembre 2025, le protocole de collecte de revenus décentralisé bien établi Yearn a été attaqué, entraînant une perte d'environ 9 millions de dollars. Voici l'analyse détaillée de l'équipe de sécurité Slow Mist concernant cet incident d'attaque :

Cause profonde
Dans le contrat du pool de stableswap pondéré yETH de Yearn, la logique de la fonction de calcul de l'offre (_calc_supply) a permis des opérations mathématiques non sécurisées, ce qui a entraîné des débordements et des arrondis lors des calculs. Cela a conduit à des écarts graves lors du calcul de la nouvelle offre et du produit des soldes virtuels, permettant finalement aux attaquants de manipuler la liquidité à une valeur spécifique et de frapper un nombre de jetons LP supérieur aux attentes pour en tirer profit.

Auteur : Lisa & Johan
Éditeur : 77
Contexte
Récemment, nous avons reçu une demande d'aide d'un utilisateur qui a été victime d'une attaque de phishing ce jour-là. Cet utilisateur a découvert des enregistrements d'autorisation anormaux dans son portefeuille, a tenté de révoquer l'autorisation mais n'a pas pu le faire, et a fourni l'adresse du portefeuille affecté 9w2e3kpt5XUQXLdGb51nRWZoh4JFs6FL7TdEYsvKq6Wb. Grâce à une analyse on-chain, nous avons découvert que les droits de propriétaire du compte de cet utilisateur avaient été transférés à l'adresse GKJBELftW5Rjg24wP88NRaKGsEBtrPLgMiv3DhbJwbzQ. De plus, cet utilisateur a déjà perdu des actifs d'une valeur supérieure à 3 millions de dollars, et environ 2 millions de dollars d'actifs sont stockés dans des protocoles DeFi mais ne peuvent pas être transférés (actuellement, les actifs d'une valeur d'environ 2 millions de dollars ont été récupérés avec l'aide des protocoles DeFi concernés).

Auteur : 77
Éditeur : 77
Le 19 novembre 2025, le Bureau de contrôle des actifs étrangers du département du Trésor des États-Unis (OFAC), le Département des affaires étrangères et du commerce de l'Australie (DFAT) et le ministère des Affaires étrangères, du Commonwealth et du Développement du Royaume-Uni (FCDO) ont annoncé conjointement une nouvelle série de sanctions contre plusieurs fournisseurs de services d'hébergement sécurisé (Bulletproof Hosting, BPH) en Russie et des personnes associées. La raison est leur soutien à des activités criminelles en ligne, y compris les ransomwares. Les principales cibles des sanctions comprennent les principaux responsables de Media Land et leurs entités associées, ainsi que des membres clés du groupe Aeza et des sociétés écrans associées.
（https://home.treasury.gov/news/press-releases/sb0319）

Auteur : Joker & Ccj
Éditeur : 77
Contexte
Récemment, la communauté NPM a de nouveau connu une large vague d'incidents de poisonnage de paquets NPM. Cet incident est fortement lié à l'attaque Shai-Hulud de septembre 2025. Le code malveillant dans ce paquet NPM a volé des clés de développeur, des clés API ainsi que des informations sensibles comme des variables d'environnement, utilisant ces clés pour créer des dépôts publics et télécharger ces informations sensibles volées.
SlowMist, un outil de renseignement sur les menaces Web3 et de surveillance de la sécurité dynamique, a réagi immédiatement avec son produit MistEye, fournissant rapidement des renseignements sur les menaces pertinentes et offrant une protection de sécurité essentielle à ses clients.

Récemment, le Groupe de Surveillance des Sanctions Multilatérales (ci-après dénommé « MSMT ») a publié un rapport intitulé « DPRK utilisant des activités de travailleurs en ligne et en technologies de l'information pour violer et contourner les sanctions des Nations Unies ». Ce rapport examine systématiquement comment la République Populaire Démocratique de Corée (DPRK) utilise la puissance du réseau, les travailleurs en technologies de l'information et les activités de cryptomonnaie pour contourner les sanctions des Nations Unies, voler des technologies sensibles et lever des fonds. Cet article résumera les principaux contenus du rapport, aidant les lecteurs à comprendre rapidement les tendances de développement et les changements de méthodes des menaces en ligne de la DPRK, afin d'améliorer leur compréhension et leur capacité de prévention face aux menaces complexes de cybersécurité.

Le 21 novembre, la cérémonie de remise des prix des Hong Kong ICT Awards 2025, organisée par le Bureau des politiques numériques du gouvernement de la Région administrative spéciale de Hong Kong, s'est tenue avec éclat au Centre d'exposition et de congrès de Hong Kong, où le système de traçage anti-blanchiment de SlowMist, MistTrack, a remporté le prix d'or dans la catégorie FinTech (Technologie de régulation : Régulation et gestion des risques).

Keywolf, partenaire et CPO de SlowMist, a été invité à assister à la cérémonie et a prononcé un discours de remerciement, témoignant de ce moment aux côtés des invités du gouvernement, des organismes de réglementation et du secteur financier.

Cette récompense est non seulement une reconnaissance des capacités techniques et de la valeur d'application réelle de MistTrack, mais elle reflète également les résultats des années de travail acharné de SlowMist dans le domaine de la sécurité des blockchains et de la lutte contre le blanchiment d'argent, tout en fournissant un soutien solide au développement conforme de la fintech et des actifs numériques à Hong Kong.

Contexte
Avec l'augmentation de la compétition de trading en temps réel des grands modèles AI, de plus en plus de communautés et de développeurs de cryptomonnaies commencent à essayer le trading automatisé piloté par AI, et de nombreuses solutions open source sont rapidement mises en œuvre. Cependant, ces projets ne sont pas sans risques de sécurité.

NOFX AI est un système de trading automatique de contrats à terme sur cryptomonnaies basé sur DeepSeek/Qwen AI, prenant en charge des échanges tels que Binance, Hyperliquid et Aster DEX. L'équipe de sécurité Slow Mist a reçu des informations initiales fournies par @Endlessss20, soupçonnant que ce système pourrait entraîner des fuites de clés API d'échange, et a donc entrepris une analyse de sécurité.

Auteur : 77 & Lisa
Éditeur : 77
Le 4 novembre 2025, le Bureau de contrôle des avoirs étrangers du Trésor américain (OFAC) a annoncé une nouvelle série de sanctions contre plusieurs employés de banques et institutions financières en Corée du Nord, gelant tous les avoirs de 8 personnes et 2 entités sur le sol américain ou contrôlés par des Américains. Ces individus et entités sont accusés de financer le régime nord-coréen par le biais de cybercriminalité, de fraude au travail en technologie de l'information (TI) et d'autres moyens, afin de soutenir ses programmes nucléaires et de missiles.

https://home.treasury.gov/news/press-releases/sb0302
Détails des sanctions

Le 3 novembre, la « 10e semaine de la fintech de Hong Kong 'Hong Kong Fintech Week 2025' », co-organisée par le Bureau des affaires financières et du Trésor de Hong Kong, le Bureau du commerce et du développement économique de Hong Kong et l'Agence de promotion des investissements de Hong Kong, a été inaugurée en grande pompe au Centre des expositions et des conventions de Hong Kong.

En tant que l'un des principaux événements de fintech au monde, cette édition de la semaine de la fintech est placée sous le thème « Propulser une nouvelle ère de la fintech », attirant plus de 37 000 participants venus de plus de 100 économies, environ 800 conférenciers, plus de 700 exposants et plus de 30 délégations internationales et de la Chine continentale, confirmant une fois de plus l'attractivité et la vitalité d'innovation de Hong Kong en tant que plaque tournante mondiale de la fintech.

Auteur : Kong & Lisa
Éditeur : 77
Contexte
Le 3 novembre 2025, le protocole de market maker décentralisé bien établi Balancer v2 a été attaqué, entraînant des pertes d'environ 120 millions de dollars sur plusieurs chaînes, y compris ses protocoles fork, ce qui a aggravé la situation déjà morose de l'écosystème DeFi. Voici l'analyse détaillée de l'équipe de sécurité Slow Mist concernant cet événement d'attaque :
Cause fondamentale
Dans l'implémentation du Composable Stable Pool de Balancer v2 (basé sur le Stable Math de Curve StableSwap), il existe un problème de perte de précision dans les opérations arithmétiques à virgule fixe des facteurs d'échelle (scalingFactors), ce qui entraîne un léger écart/erreur dans les échanges de tokens, mais qui peut s'accumuler de manière composée. Les attaquants exploitent de faibles liquidités en effectuant de petits échanges pour amplifier cette erreur et réaliser des profits cumulés significatifs.

En novembre 2025, Hong Kong sera au centre de la FinTech mondiale et du Web3. En tant qu'entreprise de renseignement sur les menaces axée sur la sécurité de l'écosystème blockchain, SlowMist participera à la Semaine de la FinTech de Hong Kong et à plusieurs événements de l'industrie Web3, abordant des sujets clés tels que la sécurité blockchain, la conformité et la lutte contre le blanchiment d'argent (AML), et partageant les dernières recherches et expériences pratiques.
La Semaine de la FinTech de Hong Kong 2025 x le Festival StartmeupHK
La Semaine de la FinTech de Hong Kong 2025 x le Festival StartmeupHK se tiendra du 3 au 7 novembre au Centre des Congrès et Expositions de Hong Kong. En tant qu'événement phare de l'innovation à Hong Kong, la Semaine de la FinTech de Hong Kong 2025 x le Festival StartmeupHK est coorganisée par le Bureau des affaires financières et du Trésor de Hong Kong, le Bureau du commerce et du développement économique de Hong Kong et l'Agence de promotion des investissements de Hong Kong, en collaboration avec la Banque de Hong Kong, la Commission des valeurs mobilières et des contrats à terme de Hong Kong, et l'Autorité de régulation de l'assurance de Hong Kong. L'événement, placé sous le thème « Propulser une nouvelle ère de la FinTech », devrait attirer plus de 37 000 participants de 100 économies, 800 conférenciers et plus de 700 exposants, pour discuter ensemble des futurs schémas et opportunités de développement de la FinTech.

Auteur : Johan & Lisa
Éditeur : 77
Le 16 octobre, le projet DeFi Typus Finance sur la chaîne Sui a été attaqué par des hackers. Les autorités ont publié un rapport sur l'incident et ont remercié l'équipe de sécurité Slow Mist pour son aide dans l'enquête et le suivi :

(https://medium.com/@TypusFinance/typus-finance-tlp-oracle-exploit-post-mortem-report-response-plan-ce2d0800808b)
Cet article analysera en profondeur les raisons de cette attaque et examinera les caractéristiques du contrôle d'accès des contrats intelligents Sui Move.
Détails sur les étapes de l'attaque
Nous analysons la première transaction d'attaque :
https://suivision.xyz/txblock/6KJvWtmrZDi5MxUPkJfDNZTLf2DFGKhQA2WuVAdSRUgH