慢雾 SlowMist
認証済みクリエイター
慢雾(SlowMist) 是一家行业领先的区块链安全公司,主要通过安全审计及反洗钱追踪溯源等服务广大客户,已有商业客户上千家,客户分布在十几个主要国家与地区。
0 フォロー
32.7K+ フォロワー
867 いいね
145 共有
翻訳
2644 万美元被盗背后:Truebit Protocol 合约漏洞分析
作者:enze & Lisa
编辑:77
背景
2026 年 1 月 8 日,去中心化离线计算协议 Truebit Protocol 遭受攻击,攻击者利用合约漏洞获利约 8,535 ETH(约合 2,644 万美元)。以下为慢雾安全团队对本次攻击事件的详细分析。
根本原因
Truebit Protocol 的 Purchase 合约在计算铸造 TRU 代币所需 ETH 数量时,由于整数加法运算缺乏溢出保护,导致价格计算结果异常归零,攻击者得以近乎零成本铸造大量代币并套取合约储备金。
前置知识
Truebit Protocol 是一个去中心化的链下计算市场,旨在将复杂计算任务从区块链主网转移至链下执行,同时通过经济激励机制保障计算结果的正确性。协议引入了原生代币 TRU,TRU 代币采用算法化的弹性供应机制,TRU 的实时价格由合约内 ETH 储备量与 TRU 流通供应量的比率函数动态决定,其铸造与销毁完全由链上智能合约自动管理:
铸造:用户向 Purchase 合约存入 ETH,按算法价格铸造 TRU销毁:用户销毁持有的 TRU,按算法价格从合约提取 ETH
攻击分析
攻击者地址:0x6C8EC8f14bE7C01672d31CFa5f2CEfeAB2562b50
攻击合约:0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2
相关攻击交易:0xcd4755645595094a8ab984d0db7e3b4aabde72a5c87c4f176a030629c47fb014
1. 攻击者调用 Purchase 合约的 getPurchasePrice 函数,查询铸造 240,442,509,453,545,333,947,284,131 枚 TRU 代币所需的 ETH 数量。由于该数值经过精心构造,导致价格计算过程中发生整数溢出,函数返回值为 0。
2. 攻击者调用 Purchase 合约的 0xa0296215 函数(铸造函数),传入上述代币数量。由于所需 ETH 价格被计算为 0,攻击者无需支付任何 ETH,成功铸造了 240,442,509,453,545,333,947,284,131 枚 TRU 代币。
3. 攻击者立即调用 Purchase 合约的 0xc471b10b 函数(销毁函数),将刚铸造的全部 TRU 代币销毁,从合约储备中兑换出 5,105.069 ETH。
4. 攻击者重复执行上述「铸造 → 销毁」流程。随着 TRU 代币供应量 (S) 增大,后续铸造需支付少量 ETH,但铸造所得代币的价值仍远超支付成本,套利空间依然可观。攻击者持续操作直至耗尽合约的 ETH 储备。
攻击原理剖析
1. 价格计算公式
通过对 Purchase 合约进行反编译分析,我们定位到核心的价格计算函数:
该函数用于计算铸造指定数量代币所需支付的 ETH 数量,其计算公式如下:
Price = (100 A² R + 200 A R S) / ((100 - T) S²)
其中:
A (AmountIn):用户请求铸造的代币数量R (Reserve):合约当前的 ETH 储备量S (Supply):代币当前的总供应量T (THETA):合约参数,固定值为 75
2.漏洞原因
该合约采用 Solidity ^0.6.10 版本编译。在 Solidity 0.8.0 之前的版本中,算术运算符(+、-、*)不包含内置的溢出检查。当运算结果超过 uint256 的最大值(2²⁵⁶ - 1)时,会发生静默溢出(Silent Overflow),结果将回绕至 0 附近的小数值。
在价格计算的关键代码中:
然而乘法运算使用了 SafeMath 库进行溢出检查,但分子的加法运算 v12 + v9 直接使用了原生 + 运算符,未进行溢出保护。这构成了本次攻击的核心漏洞点。
3. 攻击数值分析
以攻击者首次铸造交易为例:
计算过程:
溢出判定:
由于 v12 + v9 的结果超过了 uint256 的最大值,发生溢出回绕。溢出后的分子值变为一个极小的数,经过整数除法后,最终计算出的 Price = 0。
4. 攻击影响
攻击者通过精心构造 AmountIn 参数,使得:
1.乘法运算均通过 SafeMath 检查(不触发 revert)
2.加法运算发生溢出,分子回绕为极小值
3.整数除法结果为 0
最终,攻击者无需支付任何 ETH,即可铸造大量代币。
MistTrack 分析
据链上追踪 & 反洗钱工具 MistTrack 分析,攻击者在本次事件中获利约 8,535 ETH(约合 2,644 万美元)。
被盗的 8,535 ETH 首先转移到三个新地址,最终均转入 Tornado Cash。
从链上看,攻击者地址曾分别在 2025/11/20、2025/12/06、2025/12/27 有过交易记录,主要行为如下:
2025/11/20:在 Avalanche 上通过 Drain 获得资金,并通过 Rhino.fi 跨链到 BNB Chain
2025/12/06:在 BNB Chain 上将收到的资金通过 Rhino.fi 跨链到 Ethereum
2025/12/27:在 Ethereum 上通过 RUN 获得 4.98 ETH,疑似为攻击者之前发起的另一个攻击,共 5 ETH 转入 Tornado Cash
目前 MistTrack 已对相关地址进行标记。
结论
本次攻击的根本原因是 Purchase 合约在计算铸造价格时,分子项的加法运算未使用 SafeMath 库进行溢出保护。由于合约采用 Solidity 0.6.10 版本编译,原生 + 运算符不具备溢出检查。攻击者通过构造特定的铸造数量,使得加法运算结果超过 uint256 最大值并发生溢出回绕,导致价格计算结果为 0,从而实现近乎零成本的代币铸造和套利。
慢雾安全团队建议对于使用 Solidity 0.8.0 以下版本的合约,开发者应确保所有算术运算均使用 SafeMath 库进行保护,避免因整数溢出导致的逻辑漏洞。
编辑:77
背景
2026 年 1 月 8 日,去中心化离线计算协议 Truebit Protocol 遭受攻击,攻击者利用合约漏洞获利约 8,535 ETH(约合 2,644 万美元)。以下为慢雾安全团队对本次攻击事件的详细分析。
根本原因
Truebit Protocol 的 Purchase 合约在计算铸造 TRU 代币所需 ETH 数量时,由于整数加法运算缺乏溢出保护,导致价格计算结果异常归零,攻击者得以近乎零成本铸造大量代币并套取合约储备金。
前置知识
Truebit Protocol 是一个去中心化的链下计算市场,旨在将复杂计算任务从区块链主网转移至链下执行,同时通过经济激励机制保障计算结果的正确性。协议引入了原生代币 TRU,TRU 代币采用算法化的弹性供应机制,TRU 的实时价格由合约内 ETH 储备量与 TRU 流通供应量的比率函数动态决定,其铸造与销毁完全由链上智能合约自动管理:
铸造:用户向 Purchase 合约存入 ETH,按算法价格铸造 TRU销毁:用户销毁持有的 TRU,按算法价格从合约提取 ETH
攻击分析
攻击者地址:0x6C8EC8f14bE7C01672d31CFa5f2CEfeAB2562b50
攻击合约:0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2
相关攻击交易:0xcd4755645595094a8ab984d0db7e3b4aabde72a5c87c4f176a030629c47fb014
1. 攻击者调用 Purchase 合约的 getPurchasePrice 函数,查询铸造 240,442,509,453,545,333,947,284,131 枚 TRU 代币所需的 ETH 数量。由于该数值经过精心构造,导致价格计算过程中发生整数溢出,函数返回值为 0。
2. 攻击者调用 Purchase 合约的 0xa0296215 函数(铸造函数),传入上述代币数量。由于所需 ETH 价格被计算为 0,攻击者无需支付任何 ETH,成功铸造了 240,442,509,453,545,333,947,284,131 枚 TRU 代币。
3. 攻击者立即调用 Purchase 合约的 0xc471b10b 函数(销毁函数),将刚铸造的全部 TRU 代币销毁,从合约储备中兑换出 5,105.069 ETH。
4. 攻击者重复执行上述「铸造 → 销毁」流程。随着 TRU 代币供应量 (S) 增大,后续铸造需支付少量 ETH,但铸造所得代币的价值仍远超支付成本,套利空间依然可观。攻击者持续操作直至耗尽合约的 ETH 储备。
攻击原理剖析
1. 价格计算公式
通过对 Purchase 合约进行反编译分析,我们定位到核心的价格计算函数:
该函数用于计算铸造指定数量代币所需支付的 ETH 数量,其计算公式如下:
Price = (100 A² R + 200 A R S) / ((100 - T) S²)
其中:
A (AmountIn):用户请求铸造的代币数量R (Reserve):合约当前的 ETH 储备量S (Supply):代币当前的总供应量T (THETA):合约参数,固定值为 75
2.漏洞原因
该合约采用 Solidity ^0.6.10 版本编译。在 Solidity 0.8.0 之前的版本中,算术运算符(+、-、*)不包含内置的溢出检查。当运算结果超过 uint256 的最大值(2²⁵⁶ - 1)时,会发生静默溢出(Silent Overflow),结果将回绕至 0 附近的小数值。
在价格计算的关键代码中:
然而乘法运算使用了 SafeMath 库进行溢出检查,但分子的加法运算 v12 + v9 直接使用了原生 + 运算符,未进行溢出保护。这构成了本次攻击的核心漏洞点。
3. 攻击数值分析
以攻击者首次铸造交易为例:
计算过程:
溢出判定:
由于 v12 + v9 的结果超过了 uint256 的最大值,发生溢出回绕。溢出后的分子值变为一个极小的数,经过整数除法后,最终计算出的 Price = 0。
4. 攻击影响
攻击者通过精心构造 AmountIn 参数,使得:
1.乘法运算均通过 SafeMath 检查(不触发 revert)
2.加法运算发生溢出,分子回绕为极小值
3.整数除法结果为 0
最终,攻击者无需支付任何 ETH,即可铸造大量代币。
MistTrack 分析
据链上追踪 & 反洗钱工具 MistTrack 分析,攻击者在本次事件中获利约 8,535 ETH(约合 2,644 万美元)。
被盗的 8,535 ETH 首先转移到三个新地址,最终均转入 Tornado Cash。
从链上看,攻击者地址曾分别在 2025/11/20、2025/12/06、2025/12/27 有过交易记录,主要行为如下:
2025/11/20:在 Avalanche 上通过 Drain 获得资金,并通过 Rhino.fi 跨链到 BNB Chain
2025/12/06:在 BNB Chain 上将收到的资金通过 Rhino.fi 跨链到 Ethereum
2025/12/27:在 Ethereum 上通过 RUN 获得 4.98 ETH,疑似为攻击者之前发起的另一个攻击,共 5 ETH 转入 Tornado Cash
目前 MistTrack 已对相关地址进行标记。
结论
本次攻击的根本原因是 Purchase 合约在计算铸造价格时,分子项的加法运算未使用 SafeMath 库进行溢出保护。由于合约采用 Solidity 0.6.10 版本编译,原生 + 运算符不具备溢出检查。攻击者通过构造特定的铸造数量,使得加法运算结果超过 uint256 最大值并发生溢出回绕,导致价格计算结果为 0,从而实现近乎零成本的代币铸造和套利。
慢雾安全团队建议对于使用 Solidity 0.8.0 以下版本的合约,开发者应确保所有算术运算均使用 SafeMath 库进行保护,避免因整数溢出导致的逻辑漏洞。
原文参照
慢霧CISOの23pdsがWeb3リーダープロジェクトの公開講座に招待され、講演を実施
1月2日から1月4日まで、グローバル金融テクノロジー学院(GFI)がHashKey Groupおよび先端テクノロジー研究所(FTI)と共同で主催したWeb3リーダープロジェクト(第2期)が香港で順調に開催された。1月3日、慢霧(SlowMist)のCISOである23pdsが公開講座に招待され、伝統金融、ブロックチェーン、先端テクノロジー分野の複数のゲストおよび受講生と共に、Web3の発展過程におけるセキュリティ課題とリスクガバナンスについて深く議論した。
今回の公開講座において、23pdsは『信頼の代償:暗号通貨セキュリティの過去と現在』をテーマに、長年のブロックチェーンセキュリティ研究および実際の事件対応経験をもとに、Web3セキュリティ問題の進化過程を体系的に整理し、攻撃者とユーザーの両視点から、なぜ信頼が暗号世界で頻繁に悪用されるのか、そして業界参加者がどのように長期的かつ持続可能なセキュリティ意識を構築すべきかを分析した。
今回の公開講座において、23pdsは『信頼の代償:暗号通貨セキュリティの過去と現在』をテーマに、長年のブロックチェーンセキュリティ研究および実際の事件対応経験をもとに、Web3セキュリティ問題の進化過程を体系的に整理し、攻撃者とユーザーの両視点から、なぜ信頼が暗号世界で頻繁に悪用されるのか、そして業界参加者がどのように長期的かつ持続可能なセキュリティ意識を構築すべきかを分析した。
原文参照
SlowMist | 2025年ブロックチェーンセキュリティとマネーロンダリング対策に関する年次報告書
紙面の都合上、本稿では分析レポートの要点のみを記載しております。全文は記事末尾からPDF形式でダウンロードいただけます。
I. 概要
2025年、ブロックチェーン業界は急速な進化を続けました。マクロ金融環境、規制の不確実性、そして攻撃の激化といった複合的な影響により、セキュリティ状況は年間を通して著しく複雑化しました。具体的には、ハッカー集団とアンダーグラウンド犯罪は高度に専門化しており、北朝鮮関連のハッカーが活発に活動しました。情報窃取型トロイの木馬、秘密鍵ハイジャック、ソーシャルエンジニアリングによるフィッシングが主な攻撃手段となりました。さらに、DeFiにおける権限管理やミーム発行は、度々巨額の損失をもたらしました。RaaS/MaaSのサービス指向アーキテクチャは、犯罪者の参入障壁を低下させ、技術的な知識を持たない攻撃者でも迅速に攻撃を開始できるようにしました。一方、アンダーグラウンドのマネーロンダリングシステムは成熟を続け、東南アジアの詐欺クラスター、プライバシーツール、コインミキシング施設が多層的な資金調達チャネルを形成しました。規制面では、各国がAML/CFTフレームワークの導入を加速し、国境を越えた法執行措置により、オンチェーン追跡と資産凍結の効率性が向上しました。規制は徐々に単一点攻撃から体系的な封じ込めへと移行し、プライバシー プロトコルの法的境界が再定義され、技術的属性と犯罪的使用がさらに区別されるようになりました。
I. 概要
2025年、ブロックチェーン業界は急速な進化を続けました。マクロ金融環境、規制の不確実性、そして攻撃の激化といった複合的な影響により、セキュリティ状況は年間を通して著しく複雑化しました。具体的には、ハッカー集団とアンダーグラウンド犯罪は高度に専門化しており、北朝鮮関連のハッカーが活発に活動しました。情報窃取型トロイの木馬、秘密鍵ハイジャック、ソーシャルエンジニアリングによるフィッシングが主な攻撃手段となりました。さらに、DeFiにおける権限管理やミーム発行は、度々巨額の損失をもたらしました。RaaS/MaaSのサービス指向アーキテクチャは、犯罪者の参入障壁を低下させ、技術的な知識を持たない攻撃者でも迅速に攻撃を開始できるようにしました。一方、アンダーグラウンドのマネーロンダリングシステムは成熟を続け、東南アジアの詐欺クラスター、プライバシーツール、コインミキシング施設が多層的な資金調達チャネルを形成しました。規制面では、各国がAML/CFTフレームワークの導入を加速し、国境を越えた法執行措置により、オンチェーン追跡と資産凍結の効率性が向上しました。規制は徐々に単一点攻撃から体系的な封じ込めへと移行し、プライバシー プロトコルの法的境界が再定義され、技術的属性と犯罪的使用がさらに区別されるようになりました。
原文参照
慢霧 Q4 追蹤實錄:協助被盜客戶凍結/追回百萬美元資金
自慢霧(SlowMist) 上線 MistTrack 被盜表單提交功能以來,我們每天都會收到大量受害者的求助信息,希望我們提供資金追蹤和挽救的幫助,其中不乏丟失上千萬美金的大額受害者。基於此,本系列通過對每個季度收到的被盜求助進行統計和分析,旨在以脫敏後的真實案例剖析常見或罕見的作惡手法,幫助行業參與者更好地理解和防範安全風險,保護自己的資產。
據統計,MistTrack Team 于 2025 年 Q4 季度共收到 300 份被盜表單,包括 210 份國內表單和 90 份海外表單,我們為這些表單做了免費的評估社區服務。(Ps. 此數據僅針對來自表單提交的 Case,不包括通過郵箱或其他渠道聯繫的 Case)
據統計,MistTrack Team 于 2025 年 Q4 季度共收到 300 份被盜表單,包括 210 份國內表單和 90 份海外表單,我們為這些表單做了免費的評估社區服務。(Ps. 此數據僅針對來自表單提交的 Case,不包括通過郵箱或其他渠道聯繫的 Case)
原文参照
クリスマス襲撃 | Trust Wallet 拡張ウォレットがハッキングされた分析
背景
日本時間の今朝早く @zachxbt がチャンネルにメッセージを投稿し、「いくつかの Trust Wallet ユーザーが、過去数時間以内に彼らのウォレットアドレスの資金が盗まれたと報告しています」と述べました。その後、Trust Wallet の公式 X も公式メッセージを発表し、Trust Wallet ブラウザ拡張機能の 2.68 バージョンにセキュリティリスクが存在することを確認し、2.68 バージョンを使用しているすべてのユーザーに対して、直ちにそのバージョンを無効にし、2.69 バージョンにアップグレードするように通知しました。
技術戦略
SlowMist セキュリティチームは情報を受け取った後、関連するサンプルの分析を即座に開始しました。以前に公開された 2.67 と 2.68 の二つのバージョンのコアコードの比較を見てみましょう:
日本時間の今朝早く @zachxbt がチャンネルにメッセージを投稿し、「いくつかの Trust Wallet ユーザーが、過去数時間以内に彼らのウォレットアドレスの資金が盗まれたと報告しています」と述べました。その後、Trust Wallet の公式 X も公式メッセージを発表し、Trust Wallet ブラウザ拡張機能の 2.68 バージョンにセキュリティリスクが存在することを確認し、2.68 バージョンを使用しているすべてのユーザーに対して、直ちにそのバージョンを無効にし、2.69 バージョンにアップグレードするように通知しました。
技術戦略
SlowMist セキュリティチームは情報を受け取った後、関連するサンプルの分析を即座に開始しました。以前に公開された 2.67 と 2.68 の二つのバージョンのコアコードの比較を見てみましょう:
原文参照
慢雾:去中心化永续合约安全审计指南
著者:九九
校正:Kong
編集:77
序文
分散型永続契約は「共有流動性」と「オラクル価格設定」メカニズムを通じて、オンチェーンに高レバレッジの派生取引を再現します。AMM現物取引とは異なり、永続契約システムは複雑な保証金計算、利益と損失の動的調整、清算ゲームが関与します。微小な論理的偏差——価格精度の丸め、またはオラクルの更新の遅延——は、プロトコルが資金不足になったり、ユーザー資産がゼロになる原因となる可能性があります。
このマニュアルはこの種のシステムのコアアーキテクチャを解体し、リスクシナリオを分析し、スマートコントラクトのセキュリティ監査人またはブロックチェーンセキュリティ研究者に実践的な監査チェックリストを提供することを目的としています。
校正:Kong
編集:77
序文
分散型永続契約は「共有流動性」と「オラクル価格設定」メカニズムを通じて、オンチェーンに高レバレッジの派生取引を再現します。AMM現物取引とは異なり、永続契約システムは複雑な保証金計算、利益と損失の動的調整、清算ゲームが関与します。微小な論理的偏差——価格精度の丸め、またはオラクルの更新の遅延——は、プロトコルが資金不足になったり、ユーザー資産がゼロになる原因となる可能性があります。
このマニュアルはこの種のシステムのコアアーキテクチャを解体し、リスクシナリオを分析し、スマートコントラクトのセキュリティ監査人またはブロックチェーンセキュリティ研究者に実践的な監査チェックリストを提供することを目的としています。
原文参照
選ばれてから実現まで:MistTrackの香港デジタル港ブロックチェーンおよびデジタル資産試験計画における実践と成果
最近、複数の香港の権威あるメディアが香港デジタル港の「ブロックチェーンとデジタル資産の試験的助成プログラム」の初期成果に関するレビューとまとめを発表する中、SlowMistが自主開発したブロックチェーンのマネーロンダリング追跡システムであるMistTrackが、選ばれたプロジェクトの1つとして、デジタル資産の安全性とコンプライアンスの分野での実践成果がさらに評価されました。
https://dw-media.tkww.hk/epaper/wwp/20251211/b01-1211.pdf
MistTrackの適用の進展と段階的成果
「ブロックチェーンとデジタル資産の試験的助成プログラム」は、今年の6月に正式に開始され、模範的で影響力のあるブロックチェーンおよびデジタル資産のアプリケーションを現実の環境でテストし、実装することを目的としています。プログラムは好評を博し、200件以上の申請が寄せられ、最終的に9件のプロジェクトのみが選ばれ、初期には資産規模が1.2億香港ドルを超えるものが含まれています。デジタル港のブロックチェーンおよびデジタル資産のディレクターである李懿政氏は、約半数の選ばれた試験製品が成功したか、商業化の準備を進めていると述べ、このプログラムが革新アプリケーションの実現を促進する上で顕著な成果を上げていることを示しています。その中で、SlowMistは「デジタル資産の安全性とコンプライアンスの武器」として明確に代表プロジェクトに挙げられています。
https://dw-media.tkww.hk/epaper/wwp/20251211/b01-1211.pdf
MistTrackの適用の進展と段階的成果
「ブロックチェーンとデジタル資産の試験的助成プログラム」は、今年の6月に正式に開始され、模範的で影響力のあるブロックチェーンおよびデジタル資産のアプリケーションを現実の環境でテストし、実装することを目的としています。プログラムは好評を博し、200件以上の申請が寄せられ、最終的に9件のプロジェクトのみが選ばれ、初期には資産規模が1.2億香港ドルを超えるものが含まれています。デジタル港のブロックチェーンおよびデジタル資産のディレクターである李懿政氏は、約半数の選ばれた試験製品が成功したか、商業化の準備を進めていると述べ、このプログラムが革新アプリケーションの実現を促進する上で顕著な成果を上げていることを示しています。その中で、SlowMistは「デジタル資産の安全性とコンプライアンスの武器」として明確に代表プロジェクトに挙げられています。
原文参照
Cointelegraph が報道:SlowMist の創設者 Cos がチェーン上の安全の核心について語る——速度と協力
近日、世界的に有名なブロックチェーンメディア Cointelegraph が、加密安全業界のチェーン上探偵と研究者に焦点を当てた特集記事「(Meet the onchain crypto detectives fighting crime better than the cops)」を発表しました。SlowMist の創設者である Cos(余弦)は、インタビューを受け、重大な安全事件におけるチームの処理プロセス、製品システム、および業界の安全状況に対する観察を共有しました。
速度は安全の第一要務です
Cos はインタビューの中で、SlowMist の標準化された事件対応メカニズムを紹介しました。彼は、チェーン上の攻撃は通常「拡散が早く、クロスチェーンが広く、ウィンドウが非常に短い」という特徴を持っているため、対応の速度が事件の最終的な損失の上限をほぼ決定することに注意を促しました。「事件が発生すると、私たちは直ちに作戦室を開設し、迅速に追跡、制御し、警報を発することを目指します。」作戦室の環境では、チームは攻撃経路に基づいて迅速に役割分担を行います。例えば、チェーン上の追跡、インフラ分析、ドメインリスクの評価、および二次攻撃の監視などです。事件が進行するにつれて、信頼できるプロジェクト側、取引所、協力チーム、被害者が次々と加わり、情報を共有し、行動を同期させます。そして、情報漏洩のリスクを厳格に管理します。Cos もまた、事件の初期に専門の安全チームが先行する必要があることを認めています。「法執行機関の介入速度は比較的遅く、彼らは証拠を集めるために時間が必要です。しかし、攻撃は数分以内に巨大な損失を引き起こす可能性があるため、私たちは速度が必要であり、より大きな損失が発生する前に行動しなければなりません。」これもまた、業界内の安全チームがしばしば最も早く、最も重い対応のプレッシャーを負う理由を説明しています。
速度は安全の第一要務です
Cos はインタビューの中で、SlowMist の標準化された事件対応メカニズムを紹介しました。彼は、チェーン上の攻撃は通常「拡散が早く、クロスチェーンが広く、ウィンドウが非常に短い」という特徴を持っているため、対応の速度が事件の最終的な損失の上限をほぼ決定することに注意を促しました。「事件が発生すると、私たちは直ちに作戦室を開設し、迅速に追跡、制御し、警報を発することを目指します。」作戦室の環境では、チームは攻撃経路に基づいて迅速に役割分担を行います。例えば、チェーン上の追跡、インフラ分析、ドメインリスクの評価、および二次攻撃の監視などです。事件が進行するにつれて、信頼できるプロジェクト側、取引所、協力チーム、被害者が次々と加わり、情報を共有し、行動を同期させます。そして、情報漏洩のリスクを厳格に管理します。Cos もまた、事件の初期に専門の安全チームが先行する必要があることを認めています。「法執行機関の介入速度は比較的遅く、彼らは証拠を集めるために時間が必要です。しかし、攻撃は数分以内に巨大な損失を引き起こす可能性があるため、私たちは速度が必要であり、より大きな損失が発生する前に行動しなければなりません。」これもまた、業界内の安全チームがしばしば最も早く、最も重い対応のプレッシャーを負う理由を説明しています。
原文参照
900 万美元被盗:Yearn yETH 池漏洞分析
作者:九九 & Lisa
编辑:77
背景
2025 年 12 月 1 日,老牌去中心化收益聚合协议 Yearn 遭到攻击,损失约 900 万美元。以下是慢雾安全团队针对此次攻击事件的具体分析:
根本原因
在 Yearn 的 yETH Weighted Stableswap Pool 合约中,计算供应量的函数逻辑(_calc_supply) 由于采用了不安全的数学运算方式,允许计算时出现溢出和舍入的情况,导致在计算新的供应量和虚拟余额乘积时出现严重偏差,最终造成攻击者可以将流动性操控到特定的值后铸造出超出预期数量的 LP 代币获利。
编辑:77
背景
2025 年 12 月 1 日,老牌去中心化收益聚合协议 Yearn 遭到攻击,损失约 900 万美元。以下是慢雾安全团队针对此次攻击事件的具体分析:
根本原因
在 Yearn 的 yETH Weighted Stableswap Pool 合约中,计算供应量的函数逻辑(_calc_supply) 由于采用了不安全的数学运算方式,允许计算时出现溢出和舍入的情况,导致在计算新的供应量和虚拟余额乘积时出现严重偏差,最终造成攻击者可以将流动性操控到特定的值后铸造出超出预期数量的 LP 代币获利。
原文参照
警戒せよ Solana フィッシング攻撃:ウォレットオーナー権限が改ざんされました
作者:Lisa & Johan
编辑:77
背景
最近、私たちはユーザーからの助けを求められました。そのユーザーはその日にフィッシング攻撃に遭遇しました。ユーザーはウォレットに異常な承認記録が存在することに気づき、承認を取り消そうとしましたが、完了できませんでした。また、影響を受けたウォレットアドレス 9w2e3kpt5XUQXLdGb51nRWZoh4JFs6FL7TdEYsvKq6Wb を提供しました。私たちはオンチェーン分析を通じて、そのユーザーのアカウントのオーナー権限がアドレス GKJBELftW5Rjg24wP88NRaKGsEBtrPLgMiv3DhbJwbzQ に移転されていることを発見しました。さらに、そのユーザーは 300 万ドル以上の資産が盗まれたことがあり、別に約 200 万ドルの資産が DeFi プロトコルに保存されていますが、移転できません(現在、この部分の約 200 万ドルの資産は関連する DeFi の支援の下で救済に成功しました)。
编辑:77
背景
最近、私たちはユーザーからの助けを求められました。そのユーザーはその日にフィッシング攻撃に遭遇しました。ユーザーはウォレットに異常な承認記録が存在することに気づき、承認を取り消そうとしましたが、完了できませんでした。また、影響を受けたウォレットアドレス 9w2e3kpt5XUQXLdGb51nRWZoh4JFs6FL7TdEYsvKq6Wb を提供しました。私たちはオンチェーン分析を通じて、そのユーザーのアカウントのオーナー権限がアドレス GKJBELftW5Rjg24wP88NRaKGsEBtrPLgMiv3DhbJwbzQ に移転されていることを発見しました。さらに、そのユーザーは 300 万ドル以上の資産が盗まれたことがあり、別に約 200 万ドルの資産が DeFi プロトコルに保存されていますが、移転できません(現在、この部分の約 200 万ドルの資産は関連する DeFi の支援の下で救済に成功しました)。
原文参照
米英豪共同でロシアのサイバー犯罪インフラ Media Land と Aeza Group に打撃
作者:77
編集:77
2025 年 11 月 19 日、アメリカ財務省外国資産管理局(OFAC)、オーストラリア外務貿易省(DFAT)、およびイギリス外務・連邦・開発省(FCDO)が共同で、ロシアの複数の防弾ホスティング(Bulletproof Hosting, BPH)サービスプロバイダーおよび関連個人に対して新たな制裁を発表しました。理由は、彼らがランサムウェアを含むサイバー犯罪活動を支援しているためです。主な制裁対象には、Media Landの主要な責任者およびその関連団体、ならびにAeza Groupの主要メンバーおよび関連のフロント企業が含まれます。
(https://home.treasury.gov/news/press-releases/sb0319)
編集:77
2025 年 11 月 19 日、アメリカ財務省外国資産管理局(OFAC)、オーストラリア外務貿易省(DFAT)、およびイギリス外務・連邦・開発省(FCDO)が共同で、ロシアの複数の防弾ホスティング(Bulletproof Hosting, BPH)サービスプロバイダーおよび関連個人に対して新たな制裁を発表しました。理由は、彼らがランサムウェアを含むサイバー犯罪活動を支援しているためです。主な制裁対象には、Media Landの主要な責任者およびその関連団体、ならびにAeza Groupの主要メンバーおよび関連のフロント企業が含まれます。
(https://home.treasury.gov/news/press-releases/sb0319)
原文参照
脅威情報 |NPM 投毒分析 — Shai-Hulud 攻撃重現
作者:Joker & Ccj
編集:77
背景
近日、NPM コミュニティで再び大規模な NPM パッケージ投毒事件が発生しました。この事件は2025年9月のShai-Hulud攻撃事件と高度に関連しており、今回のNPMパッケージに含まれる悪意のあるコードは開発者のキー、APIキー、および環境変数などの機密情報を盗むもので、これらのキーを利用して公開リポジトリを作成し、盗まれた機密情報をアップロードします。
慢雾(SlowMist) が自主開発したWeb3の脅威情報と動的セキュリティ監視ツールMistEyeは、最初に対応し、迅速に関連する脅威情報を提供し、顧客に重要なセキュリティ保障を提供します。
編集:77
背景
近日、NPM コミュニティで再び大規模な NPM パッケージ投毒事件が発生しました。この事件は2025年9月のShai-Hulud攻撃事件と高度に関連しており、今回のNPMパッケージに含まれる悪意のあるコードは開発者のキー、APIキー、および環境変数などの機密情報を盗むもので、これらのキーを利用して公開リポジトリを作成し、盗まれた機密情報をアップロードします。
慢雾(SlowMist) が自主開発したWeb3の脅威情報と動的セキュリティ監視ツールMistEyeは、最初に対応し、迅速に関連する脅威情報を提供し、顧客に重要なセキュリティ保障を提供します。
原文参照
報告解読|MSMTが「DPRKによるネットワークと情報技術労働者の活動による国連制裁の違反と回避」を発表
最近、多国制裁監視チーム(The Multilateral Sanctions Monitoring Team、以下「MSMT」)が「DPRKによるネットワークと情報技術労働者の活動による国連制裁の違反と回避」という名の報告書を発表しました。この報告書は、朝鮮民主主義人民共和国(DPRK)がネットワークの力、情報技術労働者及び暗号通貨の活動を利用して、国連制裁を回避し、敏感な技術を盗み、資金を調達する全貌を整理しています。本稿では、報告書の核心内容を整理し、読者がDPRKのネットワーク脅威の発展傾向と手法の変化を迅速に把握できるようにし、複雑なネットワークセキュリティの脅威に対する認識と防止能力を向上させることを目指します。
原文参照
MistTrack 荣获 HKICT Awards 2025 FinTech 金奖,推动链上合规新标杆
11 月 21 日,由香港特别行政区政府数字政策办公室主办的 2025 年香港资讯及通讯科技奖(HKICT Awards 2025) 颁奖典礼在香港会议展览中心隆重举行,慢雾(SlowMist) 旗下区块链反洗钱追踪系统 MistTrack 荣获金融科技奖(监管科技:监管及风险管理)金奖。
慢雾(SlowMist) 合伙人 & CPO——Keywolf 受邀出席典礼并发表获奖感言,与来自政府、监管机构、金融行业的嘉宾共同见证了这一时刻。
此次获奖,不仅是对 MistTrack 技术能力与实际应用价值的肯定,也反映了慢雾多年深耕区块链安全与反洗钱领域的成果,同时为香港金融科技及数字资产行业合规发展提供了有力支持。
慢雾(SlowMist) 合伙人 & CPO——Keywolf 受邀出席典礼并发表获奖感言,与来自政府、监管机构、金融行业的嘉宾共同见证了这一时刻。
此次获奖,不仅是对 MistTrack 技术能力与实际应用价值的肯定,也反映了慢雾多年深耕区块链安全与反洗钱领域的成果,同时为香港金融科技及数字资产行业合规发展提供了有力支持。
原文参照
三方並肩:NOFX AI 取引システムの脆弱性防衛戦
背景
AI 大モデルの実際の取引コンペティションが盛り上がるにつれて、ますます多くの暗号コミュニティや開発者が AI を駆使した自動取引に挑戦し、多くのオープンソースソリューションが迅速に使用されています。しかし、これらのプロジェクトには安全上のリスクが少なくありません。
NOFX AI は DeepSeek/Qwen AI に基づいたオープンソースの暗号通貨先物自動取引システムで、Binance、Hyperliquid、Aster DEX などの取引所をサポートします。慢雾セキュリティチームは、@Endlessss20 から提供された最初の情報を受け取り、このシステムが取引所の API キーなどの漏洩を引き起こす可能性があると疑い、安全分析を開始しました。
AI 大モデルの実際の取引コンペティションが盛り上がるにつれて、ますます多くの暗号コミュニティや開発者が AI を駆使した自動取引に挑戦し、多くのオープンソースソリューションが迅速に使用されています。しかし、これらのプロジェクトには安全上のリスクが少なくありません。
NOFX AI は DeepSeek/Qwen AI に基づいたオープンソースの暗号通貨先物自動取引システムで、Binance、Hyperliquid、Aster DEX などの取引所をサポートします。慢雾セキュリティチームは、@Endlessss20 から提供された最初の情報を受け取り、このシステムが取引所の API キーなどの漏洩を引き起こす可能性があると疑い、安全分析を開始しました。
原文参照
アメリカが北朝鮮の暗号資産マネーロンダリングネットワークを打撃:多くの銀行職員と複数の金融機関が影響を受ける
著者:77 & Lisa
編集:77
2025 年 11 月 4 日、アメリカ財務省外国資産管理局(OFAC) は、北朝鮮の多くの銀行職員と金融機関に対して新たな制裁を発表しました。この措置により、8 名の個人と 2 件の団体のアメリカ国内またはアメリカ人によって管理される全ての資産が凍結されました。これらの個人と団体は、サイバー犯罪や情報技術(IT)労働者の詐欺などの手段を通じて北朝鮮政権の資金調達を行い、核兵器とミサイル計画を支援しているとされています。
https://home.treasury.gov/news/press-releases/sb0302
制裁の詳細
編集:77
2025 年 11 月 4 日、アメリカ財務省外国資産管理局(OFAC) は、北朝鮮の多くの銀行職員と金融機関に対して新たな制裁を発表しました。この措置により、8 名の個人と 2 件の団体のアメリカ国内またはアメリカ人によって管理される全ての資産が凍結されました。これらの個人と団体は、サイバー犯罪や情報技術(IT)労働者の詐欺などの手段を通じて北朝鮮政権の資金調達を行い、核兵器とミサイル計画を支援しているとされています。
https://home.treasury.gov/news/press-releases/sb0302
制裁の詳細
原文参照
活動回顧|慢雾(SlowMist)亮相第十届香港金融科技周 2025
11 月 3 日,由香港财经事务及库务局、香港商务及经济发展局和香港投资推广署联合主办,并由香港金融管理局、香港证券及期货事务监察委员会及香港保险业监管局合办的“第十届香港金融科技周「Hong Kong Fintech Week 2025」在香港会议展览中心隆重揭幕。
作为全球领先的金融科技盛会之一,本届金融科技周以“策动金融科技新时代”为主题,吸引了来自超过 100 个经济体的逾 37,000 名与会者,约 800 名演讲嘉宾、700 多家参展机构及逾 30 个国际及中国内地代表团参与,再次印证了香港作为全球金融科技枢纽的强大吸引力与创新活力。
作为全球领先的金融科技盛会之一,本届金融科技周以“策动金融科技新时代”为主题,吸引了来自超过 100 个经济体的逾 37,000 名与会者,约 800 名演讲嘉宾、700 多家参展机构及逾 30 个国际及中国内地代表团参与,再次印证了香港作为全球金融科技枢纽的强大吸引力与创新活力。
原文参照
積羽沈舟 —— Balancer 超1億ドルがハッキングされた分析
作者:Kong & Lisa
編集:77
背景
2025 年 11 月 3 日、老舗の分散型自動マーケットメーカー協定 Balancer v2 が攻撃を受け、フォークプロトコルを含む複数のプロジェクトが複数のチェーン上で約 1.2 億ドルの損失を被り、もともとあまり景気の良くない DeFi エコシステムがさらに悪化しました。以下は SlowMist セキュリティチームによる今回の攻撃事件に関する具体的な分析です。
根本原因
Balancer v2 のコンポーザブルステーブルプールの実装(Curve StableSwap に基づくステーブルマス)では、スケーリングファクター(scalingFactors)の整数固定小数点演算に精度の損失があり、トークン交換でわずかだが複利式に蓄積される価格差/誤差が発生します。攻撃者は流動性が低い小額の交換を利用して、この誤差を拡大し、顕著な累積利益を得ます。
編集:77
背景
2025 年 11 月 3 日、老舗の分散型自動マーケットメーカー協定 Balancer v2 が攻撃を受け、フォークプロトコルを含む複数のプロジェクトが複数のチェーン上で約 1.2 億ドルの損失を被り、もともとあまり景気の良くない DeFi エコシステムがさらに悪化しました。以下は SlowMist セキュリティチームによる今回の攻撃事件に関する具体的な分析です。
根本原因
Balancer v2 のコンポーザブルステーブルプールの実装(Curve StableSwap に基づくステーブルマス)では、スケーリングファクター(scalingFactors)の整数固定小数点演算に精度の損失があり、トークン交換でわずかだが複利式に蓄積される価格差/誤差が発生します。攻撃者は流動性が低い小額の交換を利用して、この誤差を拡大し、顕著な累積利益を得ます。
原文参照
相约香港|慢雾将亮相香港金融科技周及多场 Web3 行业盛会
2025 年 11 月,香港将成为全球金融科技与 Web3 的焦点。作为专注于区块链生态安全的威胁情报公司,慢雾(SlowMist) 将亮相香港金融科技周及多场 Web3 行业活动,围绕区块链安全、合规风控与反洗钱(AML) 等关键议题,分享最新研究成果与实践经验。
香港金融科技周 2025 x StartmeupHK 创业节
香港金融科技周 2025 x StartmeupHK 创业节将于 11 月 3 日至 11 月 7 日在香港会议展览中心隆重举行。作为香港首屈一指的创科盛事,香港金融科技周 2025 x StartmeupHK 创业节由香港财经事务及库务局、香港商务及经济发展局和香港投资推广署联合主办,并由香港金融管理局、香港证券及期货事务监察委员会及香港保险业监管局合办。活动以“策动金融科技新时代”为主题,预计将吸引逾 100 个经济体的 37,000 名与会者、800 位演讲嘉宾及超过 700 家参展机构,共同探讨金融科技的未来格局与发展机遇。
香港金融科技周 2025 x StartmeupHK 创业节
香港金融科技周 2025 x StartmeupHK 创业节将于 11 月 3 日至 11 月 7 日在香港会议展览中心隆重举行。作为香港首屈一指的创科盛事,香港金融科技周 2025 x StartmeupHK 创业节由香港财经事务及库务局、香港商务及经济发展局和香港投资推广署联合主办,并由香港金融管理局、香港证券及期货事务监察委员会及香港保险业监管局合办。活动以“策动金融科技新时代”为主题,预计将吸引逾 100 个经济体的 37,000 名与会者、800 位演讲嘉宾及超过 700 家参展机构,共同探讨金融科技的未来格局与发展机遇。
原文参照
Moveは安全ですか?Typus権限検証の脆弱性
著者:Johan & Lisa
編集:77
10 月 16 日、Sui チェーン上の DeFi プロジェクト Typus Finance がハッカーの攻撃を受け、公式に攻撃事件報告を発表し、報告内で慢雾安全チームの調査と追跡協力に感謝しています:
(https://medium.com/@TypusFinance/typus-finance-tlp-oracle-exploit-post-mortem-report-response-plan-ce2d0800808b)
本文将深入分析本次攻击的原因,并探讨 Sui Move 智能合约的权限控制的特点。
攻撃手順の詳細
私たちは最初の攻撃取引を解析します:
https://suivision.xyz/txblock/6KJvWtmrZDi5MxUPkJfDNZTLf2DFGKhQA2WuVAdSRUgH
編集:77
10 月 16 日、Sui チェーン上の DeFi プロジェクト Typus Finance がハッカーの攻撃を受け、公式に攻撃事件報告を発表し、報告内で慢雾安全チームの調査と追跡協力に感謝しています:
(https://medium.com/@TypusFinance/typus-finance-tlp-oracle-exploit-post-mortem-report-response-plan-ce2d0800808b)
本文将深入分析本次攻击的原因,并探讨 Sui Move 智能合约的权限控制的特点。
攻撃手順の詳細
私たちは最初の攻撃取引を解析します:
https://suivision.xyz/txblock/6KJvWtmrZDi5MxUPkJfDNZTLf2DFGKhQA2WuVAdSRUgH
さらにコンテンツを探すには、ログインしてください