慢雾 SlowMist

Autor: enze & Lisa
Editar: 77
Contexto
Em 8 de janeiro de 2026, o protocolo descentralizado de computação off-chain Truebit Protocol foi atacado, com o atacante lucrando cerca de 8.535 ETH (aproximadamente 26,44 milhões de dólares). A seguir, apresentamos a análise detalhada do incidente de ataque pelo time de segurança SlowMist.

Causa raiz
O contrato de compra do protocolo Truebit calcula a quantidade de ETH necessária para a emissão de tokens TRU, mas devido à ausência de proteção contra estouro em operações de adição inteira, o cálculo de preço resulta anormalmente em zero, permitindo que o atacante emita uma grande quantidade de tokens quase gratuitamente e extraia os fundos reservados do contrato.

De 2 a 4 de janeiro, o projeto de líderes Web3 (turma de segunda fase) promovido pelo Global FinTech Institute (GFI) em conjunto com o HashKey Group e o Frontier Technology Institute (FTI) foi realizado com sucesso em Hong Kong. No dia 3 de janeiro, o CISO da SlowMist, 23pds, foi convidado a participar da aula pública, compartilhando insights e interagindo profundamente sobre os desafios de segurança e as questões de governança de riscos no processo de desenvolvimento do Web3 com vários convidados e alunos das áreas de finanças tradicionais, blockchain e tecnologia de ponta.

Na aula pública desta vez, 23pds teve como tema (O Custo da Confiança: A História e o Presente da Segurança em Criptomoedas), combinando anos de pesquisa em segurança de blockchain e experiência em tratamento de casos reais, revisou sistematicamente o processo de evolução das questões de segurança do Web3 e analisou, a partir das perspectivas de atacantes e usuários, por que a confiança é frequentemente abusada no mundo das criptomoedas e como os participantes da indústria devem construir uma consciência de segurança a longo prazo e sustentável.

Devido a restrições de espaço, este artigo lista apenas os principais conteúdos do relatório de análise; o conteúdo completo pode ser baixado em PDF ao final do texto.

Uma visão geral
Em 2025, a indústria de blockchain continuará a evoluir rapidamente, com o ambiente financeiro macroeconômico, incertezas regulatórias e a intensidade dos ataques se sobrepondo, tornando a situação de segurança ao longo do ano significativamente complexa. Especificamente, organizações de hackers e crimes subterrâneos se tornaram altamente especializadas, hackers relacionados à Coreia do Norte estão frequentemente ativos, e trojans de roubo de informações, sequestro de chaves privadas e phishing social tornaram-se os principais métodos de ataque; além disso, a gestão de permissões DeFi e a emissão de Memes causaram várias perdas substanciais, e os serviços RaaS/MaaS diminuíram a barreira para crimes, permitindo que atacantes sem formação técnica realizassem ataques rapidamente. Ao mesmo tempo, o sistema de lavagem de dinheiro subterrâneo continua a amadurecer, com grupos de fraude no Sudeste Asiático, ferramentas de privacidade e instalações de mistura de moedas formando canais de financiamento em múltiplos níveis. Em termos regulatórios, os países estão acelerando a implementação da estrutura AML/CFT, e várias ações de aplicação da lei transfronteiriças melhoraram a eficiência do rastreamento na blockchain e do congelamento de ativos, com a regulação gradualmente se movendo de ações pontuais para um cerco sistemático, e os limites legais dos protocolos de privacidade estão sendo redefinidos, diferenciando mais claramente entre atributos técnicos e usos criminosos.

自慢雾(SlowMist) Desde que a funcionalidade de envio de formulários para casos de roubo do MistTrack foi lançada, recebemos diariamente uma grande quantidade de pedidos de ajuda de vítimas, esperando que possamos fornecer assistência na rastreabilidade de fundos e recuperação, incluindo vítimas que perderam mais de dez milhões de dólares. Com base nisso, esta série realiza estatísticas e análises dos pedidos de ajuda recebidos a cada trimestre, com o objetivo de analisar casos reais desensibilizados, comuns ou raros, para ajudar os participantes da indústria a entender e prevenir melhor os riscos de segurança, protegendo seus ativos.
Segundo estatísticas, a equipe do MistTrack recebeu no quarto trimestre de 2025 um total de 300 formulários de roubo, incluindo 210 formulários nacionais e 90 formulários internacionais, e oferecemos serviços de avaliação comunitária gratuitos para esses formulários. (Ps. Esses dados se referem apenas a casos oriundos do envio de formulários, não incluindo casos contatados por e-mail ou outros canais)

Contexto
Na madrugada de hoje, horário de Pequim, @zachxbt publicou uma mensagem no canal afirmando que "alguns usuários da Trust Wallet relataram que, nas últimas horas, os fundos em seus endereços de carteira foram roubados". Em seguida, a Trust Wallet também publicou uma mensagem oficial no X, confirmando que a versão 2.68 da extensão do navegador Trust Wallet apresenta riscos de segurança, alertando todos os usuários que estão usando a versão 2.68 para desativarem imediatamente essa versão e atualizarem para a versão 2.69.

Estratégia técnica
Após receber a inteligência, a equipe de segurança da Slow Mist iniciou imediatamente a análise das amostras relacionadas. Vamos primeiro comparar o código central das versões 2.67 e 2.68 que foram publicadas anteriormente:

Autor: Nove Nove
Revisão: Kong
Editor: 77
Introdução
Os contratos perpétuos descentralizados replicam na cadeia as negociações de derivativos de alta alavancagem através dos mecanismos de 'liquidez compartilhada' e 'precificação por oráculos'. Diferente das negociações à vista de AMM, o sistema de contratos perpétuos envolve cálculos complexos de margem, ajustes dinâmicos de lucros e perdas e jogos de liquidação. Pequenas desvios lógicos — seja o arredondamento da precisão do preço ou o atraso na atualização do oráculo — podem levar o protocolo à insolvência ou à liquidação total dos ativos dos usuários.
Este manual tem como objetivo desconstruir a arquitetura central de tais sistemas, analisar cenários de risco e fornecer uma lista de verificação de auditoria prática para auditores de segurança de contratos inteligentes ou pesquisadores de segurança de blockchain.

Recentemente, à medida que várias mídias de Hong Kong publicaram sucessivamente revisões e resumos dos resultados da primeira fase do programa de financiamento para a 'Blockchain e Ativos Digitais' do Cyberport de Hong Kong, o sistema de rastreamento de lavagem de dinheiro baseado em blockchain MistTrack, desenvolvido pela SlowMist, como um dos projetos selecionados, também obteve reconhecimento adicional por seus resultados práticos na área de segurança e conformidade de ativos digitais.

https://dw-media.tkww.hk/epaper/wwp/20251211/b01-1211.pdf
O progresso da aplicação e os resultados faseados do MistTrack

O programa de financiamento para a 'Blockchain e Ativos Digitais' foi oficialmente lançado em junho deste ano, visando apoiar aplicações de blockchain e ativos digitais com exemplaridade e grande impacto para serem testadas e implementadas em ambientes reais. O programa teve uma resposta calorosa, recebendo mais de 200 inscrições, das quais apenas 9 projetos foram selecionados, envolvendo um volume de ativos superior a 120 milhões de dólares de Hong Kong. O diretor de blockchain e ativos digitais do Cyberport, Li Yizheng, afirmou que quase metade dos produtos selecionados já foram comercializados com sucesso ou estão se preparando para isso, mostrando que o programa tem sido eficaz na promoção da implementação de aplicações inovadoras. Entre eles, a SlowMist foi claramente destacada como um projeto representativo da 'ferramenta de segurança e conformidade de ativos digitais'.

Recentemente, o conhecido meio de comunicação blockchain Cointelegraph publicou uma reportagem especial intitulada (Meet the onchain crypto detectives fighting crime better than the cops), focando nos detetives e pesquisadores de segurança criptográfica da indústria. Cos (余弦), fundador da SlowMist, como um dos entrevistados, compartilhou os processos de resposta da equipe em eventos de segurança significativos, o sistema de produtos e suas observações sobre a situação de segurança da indústria.

A velocidade é a prioridade número um da segurança
Cos apresentou, na entrevista, o mecanismo de resposta a incidentes padronizado da SlowMist. Ele apontou que os ataques on-chain geralmente têm características de "rápida disseminação, ampla cobertura entre cadeias e janelas de tempo extremamente curtas", portanto, a velocidade de resposta praticamente determina o limite máximo de perdas do evento. "Assim que o evento ocorre, abrimos imediatamente a sala de operações, com o objetivo de rastrear, controlar e emitir alertas o mais rápido possível." No ambiente da sala de operações, a equipe divide rapidamente as tarefas com base nas rotas de ataque, como rastreamento on-chain, análise de infraestrutura, avaliação de riscos de domínio e monitoramento de ataques secundários. À medida que o evento avança, partes confiáveis do projeto, exchanges, equipes parceiras e vítimas se juntam gradualmente, compartilhando inteligência, sincronizando ações e controlando rigorosamente o risco de vazamento de informações. Cos também admitiu que, no início do evento, as equipes de segurança profissionais devem agir primeiro: "A velocidade de intervenção das agências de aplicação da lei é relativamente lenta, elas precisam de tempo para coletar provas, enquanto os ataques podem causar enormes perdas em minutos, por isso precisamos de velocidade, devemos agir antes que perdas maiores ocorram." Isso também explica por que as equipes de segurança da indústria costumam suportar a maior pressão de resposta inicialmente.

Autor: Jiu Jiu & Lisa
Editado: 77
Contexto

Em 1 de dezembro de 2025, o renomado protocolo de agregação de rendimento descentralizado Yearn foi atacado, resultando em uma perda de cerca de 9 milhões de dólares. A seguir, a equipe de segurança SlowMist analisou detalhadamente este incidente de ataque:

Causa raiz
No contrato do yETH Weighted Stableswap Pool da Yearn, a lógica da função que calcula o suprimento (_calc_supply) usa operações matemáticas inseguras, permitindo que ocorram overflows e arredondamentos durante os cálculos, resultando em desvios graves ao calcular o novo suprimento e o produto do saldo virtual, permitindo que o atacante manipule a liquidez para valores específicos e cunhe uma quantidade de tokens LP além do esperado para lucrar.

作者：Lisa & Johan
编辑：77
背景
Recentemente, recebemos o pedido de ajuda de um usuário que foi alvo de um ataque de phishing naquele dia. O usuário descobriu registros de autorização anômalos em sua carteira, tentou revogar a autorização, mas não conseguiu, e forneceu o endereço da carteira afetada 9w2e3kpt5XUQXLdGb51nRWZoh4JFs6FL7TdEYsvKq6Wb. Através da análise na blockchain, descobrimos que os direitos de proprietário da conta desse usuário foram transferidos para o endereço GKJBELftW5Rjg24wP88NRaKGsEBtrPLgMiv3DhbJwbzQ. Além disso, o usuário teve mais de 3 milhões de dólares em ativos roubados, e aproximadamente 2 milhões de dólares em ativos estão em protocolos DeFi, mas não podem ser transferidos (atualmente, essa parte dos ativos avaliados em cerca de 2 milhões de dólares foi resgatada com a ajuda do DeFi relacionado).

Autor: 77
Editor: 77
Em 19 de novembro de 2025, o Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro dos EUA (OFAC), o Departamento de Relações Exteriores e Comércio da Austrália (DFAT) e o Ministério das Relações Exteriores, da Comunidade e do Desenvolvimento do Reino Unido (FCDO) anunciaram em conjunto uma nova rodada de sanções contra várias empresas de hospedagem à prova de balas (Bulletproof Hosting, BPH) na Rússia, bem como indivíduos relacionados. A razão são seus apoios a atividades criminosas cibernéticas, incluindo ransomware. Os principais alvos das sanções incluem os principais responsáveis pela Media Land e suas entidades associadas, assim como membros-chave do Aeza Group e as empresas de fachada relacionadas.
（https://home.treasury.gov/news/press-releases/sb0319）

Autor: Joker & Ccj
Editor: 77
Fundo
Recentemente, a comunidade NPM novamente enfrentou um grande incidente de envenenamento de pacotes NPM, este evento está altamente relacionado ao ataque Shai-Hulud em setembro de 2025. O código malicioso nos pacotes NPM desta vez rouba chaves de desenvolvedor, chaves de API e variáveis de ambiente, entre outras informações sensíveis, utilizando as chaves para criar repositórios públicos e enviar essas informações sensíveis roubadas.
A SlowMist, ferramenta de inteligência de ameaças e monitoramento de segurança dinâmica Web3, respondeu imediatamente com o MistEye, rapidamente enviando informações de ameaças relacionadas e fornecendo proteção de segurança crucial para os clientes.

Recentemente, a Equipe de Monitoramento de Sanções Multilaterais (doravante denominada “MSMT”) divulgou um relatório intitulado "DPRK através das atividades de trabalhadores de tecnologia da informação e internet que violam e evitam sanções da ONU". Este relatório sistematicamente analisa o uso da força cibernética, trabalhadores de tecnologia da informação e atividades de criptomoedas pela República Popular Democrática da Coreia (DPRK) para evitar sanções da ONU, roubar tecnologia sensível e arrecadar fundos. Este artigo irá resumir o conteúdo central do relatório, ajudando os leitores a entender rapidamente as tendências de desenvolvimento e as mudanças nas técnicas das ameaças cibernéticas da DPRK, aumentando assim a conscientização e a capacidade de prevenção contra ameaças cibernéticas complexas.

No dia 21 de novembro, a cerimônia de premiação do Prêmio de Tecnologia da Informação e Comunicação de Hong Kong 2025 (HKICT Awards 2025), organizada pelo Escritório de Políticas Digitais do Governo da Região Administrativa Especial de Hong Kong, foi realizada com grande pompa no Centro de Convenções e Exposições de Hong Kong, onde o sistema de rastreamento de lavagem de dinheiro baseado em blockchain da SlowMist, MistTrack, recebeu o prêmio de ouro na categoria FinTech (Tecnologia Regulatória: Regulação e Gestão de Riscos).

Keywolf, parceiro & CPO da SlowMist, foi convidado a participar da cerimônia e fez um discurso de aceitação, testemunhando este momento ao lado de convidados do governo, órgãos reguladores e da indústria financeira.

Este prêmio não apenas reconhece a capacidade técnica e o valor prático da tecnologia MistTrack, mas também reflete os resultados do trabalho contínuo da SlowMist na segurança de blockchain e na luta contra a lavagem de dinheiro ao longo dos anos, além de fornecer um forte suporte para o desenvolvimento regulamentar da indústria de fintech e ativos digitais em Hong Kong.

Fundo
Com o aumento da competição em tempo real em negociações com grandes modelos de IA, cada vez mais comunidades de criptomoeda e desenvolvedores estão começando a tentar negociações automatizadas impulsionadas por IA, e várias soluções de código aberto também estão sendo rapidamente implementadas. No entanto, não faltam riscos de segurança nesses projetos.

NOFX AI é um sistema de negociação automatizada de futuros de criptomoedas baseado em DeepSeek/Qwen AI, suportando exchanges como Binance, Hyperliquid e Aster DEX. A equipe de segurança SlowMist recebeu informações iniciais fornecidas por @Endlessss20, suspeitando que esse sistema poderia levar à exposição de chaves de API de exchanges, levando a uma análise de segurança.

Autor: 77 & Lisa
编辑：77
Em 4 de novembro de 2025, o Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro dos EUA (OFAC) anunciou uma nova rodada de sanções contra vários funcionários bancários e instituições financeiras da Coreia do Norte, congelando todos os ativos de 8 indivíduos e 2 entidades dentro dos Estados Unidos ou controlados por cidadãos americanos. Esses indivíduos e entidades foram acusados de arrecadar fundos para o regime norte-coreano por meio de crimes cibernéticos, fraudes trabalhistas em tecnologia da informação (TI) e outras medidas para apoiar seus programas de armas nucleares e mísseis.

https://home.treasury.gov/news/press-releases/sb0302
Detalhes das sanções

Em 3 de novembro, a "10ª Semana de Fintech de Hong Kong 'Hong Kong Fintech Week 2025'" foi grandiosamente inaugurada no Centro de Convenções e Exposições de Hong Kong, organizada em conjunto pelo Escritório de Assuntos Financeiros e do Tesouro de Hong Kong, pelo Escritório de Comércio e Desenvolvimento Econômico de Hong Kong e pela Agência de Promoção de Investimentos de Hong Kong, e co-organizada pela Autoridade Monetária de Hong Kong, pela Comissão de Valores Mobiliários e Futuros de Hong Kong e pela Autoridade de Supervisão do Setor de Seguros de Hong Kong.

Como um dos principais eventos de fintech do mundo, a Semana de Fintech deste ano teve como tema "Impulsionando uma Nova Era de Fintech", atraindo mais de 37.000 participantes de mais de 100 economias, cerca de 800 palestrantes, mais de 700 instituições expositoras e mais de 30 delegações internacionais e da China continental, reafirmando mais uma vez a forte atratividade e vitalidade inovadora de Hong Kong como um hub global de fintech.

作者：Kong & Lisa
Editor: 77
Contexto
Em 3 de novembro de 2025, o antigo protocolo de formador de mercado descentralizado Balancer v2 foi atacado, resultando em perdas de cerca de 120 milhões de dólares em vários projetos, incluindo seus protocolos fork, em várias cadeias, agravando ainda mais a já fraca ecologia DeFi. Abaixo está uma análise detalhada da equipe de segurança Slow Mist sobre este incidente de ataque:
Causa raiz
Na implementação do Composable Stable Pool do Balancer v2 (baseado na Stable Math do Curve StableSwap), existe um problema de perda de precisão nas operações de ponto fixo inteiras dos fatores de escala (scalingFactors), resultando em discrepâncias/erros pequenos, mas acumulativos por juros compostos, durante a troca de tokens. Atacantes aproveitam trocas de baixo valor sob baixa liquidez para amplificar esse erro, resultando em lucros acumulados significativos.

Em novembro de 2025, Hong Kong se tornará o foco global de FinTech e Web3. Como uma empresa de inteligência de ameaças focada na segurança do ecossistema blockchain, a SlowMist se apresentará na Hong Kong FinTech Week e em vários eventos da indústria Web3, abordando questões-chave como segurança de blockchain, conformidade regulatória e prevenção à lavagem de dinheiro (AML), compartilhando os mais recentes resultados de pesquisa e experiências práticas.
Hong Kong FinTech Week 2025 x StartmeupHK Festival de Empreendedorismo
Hong Kong FinTech Week 2025 x StartmeupHK Festival de Empreendedorismo será realizado de 3 a 7 de novembro de 2025 no Centro de Convenções e Exposições de Hong Kong. Como um dos principais eventos de inovação em Hong Kong, o Hong Kong FinTech Week 2025 x StartmeupHK Festival de Empreendedorismo é co-organizado pelo Departamento de Assuntos Financeiros e do Tesouro de Hong Kong, pelo Departamento de Comércio e Desenvolvimento Econômico de Hong Kong e pela Agência de Promoção de Investimentos de Hong Kong, com a colaboração da Autoridade Monetária de Hong Kong, da Comissão de Valores Mobiliários e Futuros de Hong Kong e da Autoridade de Supervisão de Seguros de Hong Kong. O evento, com o tema "Impulsionando uma Nova Era de FinTech", deve atrair mais de 37.000 participantes de 100 economias diferentes, 800 palestrantes e mais de 700 expositores, para discutir o futuro e as oportunidades de desenvolvimento da tecnologia financeira.

Autor: Johan & Lisa
Editor: 77
Em 16 de outubro, o projeto DeFi Typus Finance na cadeia Sui sofreu um ataque hacker, e a equipe oficial já publicou um relatório do incidente, agradecendo à equipe de segurança Slow Fog pela assistência na investigação e rastreamento:

(https://medium.com/@TypusFinance/typus-finance-tlp-oracle-exploit-post-mortem-report-response-plan-ce2d0800808b)
Este artigo analisará profundamente as causas deste ataque e discutirá as características do controle de permissões dos contratos inteligentes Sui Move.
Detalhes dos passos do ataque
Vamos analisar a primeira transação de ataque:
https://suivision.xyz/txblock/6KJvWtmrZDi5MxUPkJfDNZTLf2DFGKhQA2WuVAdSRUgH