慢雾 SlowMist

Авторы: enze & Lisa
Редактировать: 77
Фон
8 января 2026 года децентрализованный протокол вычислений в автономном режиме Truebit Protocol подвергся атаке, при которой злоумышленник получил около 8 535 ETH (примерно 26,44 миллиона долларов США), используя уязвимость в контракте. Ниже приводится подробный анализ атаки от команды безопасности SlowMist.

Основная причина
При расчете количества ETH, необходимого для создания токенов TRU, в контракте Purchase протокола Truebit из-за отсутствия защиты от переполнения при целочисленном сложении, результат расчета цены аномально стал нулевым, что позволило злоумышленнику почти бесплатно создать большое количество токенов и вывести резервы контракта.

С 2 января по 4 января в Гонконге успешно прошел лидерский проект Web3 (второй набор), запущенный Глобальной финансовой технологической академией (GFI) в сотрудничестве с HashKey Group и Институтом передовых технологий (FTI). 3 января CISO 23pds компании SlowMist был приглашен участвовать в открытом уроке, где состоялся глубокий обмен мнениями с несколькими гостями и учащимися из традиционного финансового сектора, блокчейна и области передовых технологий по вопросам безопасности и управления рисками в процессе развития Web3.

На этом открытом уроке 23pds обсудил тему (Цена доверия: прошлое и настоящее безопасности криптовалют), системно обобщив эволюцию проблем безопасности Web3 на основе многолетних исследований безопасности блокчейна и опыта решения реальных случаев. Он проанализировал, почему доверие часто злоупотребляется в криптомире с двух точек зрения: атакующего и пользователя, а также как участники отрасли должны строить долгосрочную, устойчивую осведомленность о безопасности.

В связи с ограниченностью места, в данной статье перечислены только основные моменты аналитического отчета. Полный текст отчета в формате PDF можно скачать в конце статьи.

I. Обзор
В 2025 году блокчейн-индустрия продолжила свое стремительное развитие. Совокупное воздействие макроэкономической и финансовой среды, неопределенности в регулировании и интенсивности атак значительно осложнило ситуацию с безопасностью в течение всего года. В частности, хакерские группы и подпольная преступность стали высокопрофессиональными, причем часто проявляли активность хакеры, связанные с Северной Кореей. Трояны для кражи информации, перехват закрытых ключей и фишинг с использованием социальной инженерии стали основными методами атак. Кроме того, управление разрешениями в DeFi и выпуск мемов неоднократно приводили к существенным потерям. Сервисно-ориентированная архитектура RaaS/MaaS снизила барьер для входа для преступников, позволяя злоумышленникам без технических знаний быстро запускать атаки. Тем временем подпольные системы отмывания денег продолжали развиваться, а кластеры мошенничества в Юго-Восточной Азии, инструменты обеспечения конфиденциальности и средства смешивания монет формировали многоуровневые каналы финансирования. На регуляторном фронте страны ускорили внедрение рамок AML/CFT, а многочисленные трансграничные правоохранительные действия повысили эффективность отслеживания в блокчейне и замораживания активов. Регулирование постепенно смещалось от единичных ударов к систематическому сдерживанию, а правовые границы протоколов конфиденциальности пересматривались, проводя дальнейшее разграничение между техническими характеристиками и преступным использованием.

自慢雾(SlowMist) 上线 MistTrack 被盗表单提交功能以来，我们每天都会收到大量受害者的求助信息，希望我们提供资金追踪和挽救的帮助，其中不乏丢失上千万美金的大额受害者。基于此，本系列通过对每个季度收到的被盗求助进行统计和分析，旨在以脱敏后的真实案例剖析常见或罕见的作恶手法，帮助行业参与者更好地理解和防范安全风险，保护自己的资产。
据统计，MistTrack Team 于 2025 年 Q4 季度共收到 300 份被盗表单，包括 210 份国内表单和 90 份海外表单，我们为这些表单做了免费的评估社区服务。（Ps. 此数据仅针对来自表单提交的 Case，不包括通过邮箱或其他渠道联系的 Case）

Контекст
Сегодня ночью по пекинскому времени @zachxbt в канале опубликовал сообщение, в котором говорится: “Некоторые пользователи Trust Wallet сообщают, что в течение последних нескольких часов средства на их кошельках были украдены”. Затем официальный X Trust Wallet также опубликовал официальное сообщение, подтвердив, что в версии 2.68 расширения браузера Trust Wallet существует риск безопасности, и напомнил всем пользователям, использующим версию 2.68, немедленно отключить эту версию и обновиться до версии 2.69.

Тактика и стратегия
Команда безопасности Slow Mist получила информацию и немедленно начала анализировать соответствующие образцы. Сначала давайте посмотрим на сравнительный анализ ключевых кодов ранее выпущенных версий 2.67 и 2.68:

Автор: 九九
Корректор: Kong
Редактор: 77
Введение
Децентрализованные бессрочные контракты воспроизводят высокие кредитные производные на блокчейне через механизмы "общей ликвидности" и "ценообразования оракулов". В отличие от спот-трейдинга AMM, система бессрочных контрактов включает в себя сложные расчеты маржи, динамическую корректировку прибыли и убытков и ликвидационные игры. Небольшие логические отклонения — будь то округление точности цен или задержка обновления оракулов — могут привести к тому, что протокол станет неплатежеспособным или активы пользователей обнулятся.
Настоящий справочник направлен на деконструкцию основной архитектуры таких систем, анализ рисковых сценариев и предоставление практического списка проверок для специалистов по безопасности смарт-контрактов или исследователей безопасности блокчейна.

Недавно, с тем, как несколько авторитетных медиа Гонконга постепенно опубликовали обзор и итог первых результатов программы пилотного финансирования блокчейна и цифровых активов в Cyberport, разработанная SlowMist система отслеживания противодействия отмыванию денег MistTrack, как один из отобранных проектов, также получила дальнейшее признание за свои практические достижения в области безопасности и соблюдения норм цифровых активов.

https://dw-media.tkww.hk/epaper/wwp/20251211/b01-1211.pdf
Прогресс применения и промежуточные результаты MistTrack

«Программа пилотного финансирования блокчейна и цифровых активов» официально стартовала в этом году в июне, с целью поддержки образцовых и высоковлиятельных приложений блокчейна и цифровых активов для тестирования и внедрения в реальной среде. Программа вызвала бурный отклик, было получено более 200 заявок, в итоге только 9 проектов успешно прошли отбор, а общий объем активов первого этапа превышает 1,2 миллиарда гонконгских долларов. Директор по блокчейну и цифровым активам Cyberport Ли Ичжэн отметил, что почти половина отобранных пилотных продуктов успешно коммерциализированы или готовятся к этому, что свидетельствует о значительном успехе программы в продвижении инновационных приложений. Среди них SlowMist была четко определена как «представитель проекта, являющегося инструментом безопасности и соблюдения норм в области цифровых активов».

Недавно всемирно известное блокчейн-издание Cointelegraph опубликовало специальный отчет под названием (Meet the onchain crypto detectives fighting crime better than the cops), сосредоточив внимание на детективах и исследователях в области криптобезопасности. Основатель SlowMist Косс (余弦) как один из респондентов поделился процессом реагирования своей команды на серьезные инциденты безопасности, продуктовой экосистемой и наблюдениями за состоянием безопасности в отрасли.

Скорость — это главный приоритет безопасности
Косс в интервью представил стандартизированный механизм реагирования на инциденты компании SlowMist. Он отметил, что атаки на блокчейне обычно имеют характеристики «быстрого распространения, широкой межцепочечной охваты и очень короткого окна», поэтому скорость реагирования почти определяет конечный лимит потерь от инцидента. «Как только инцидент происходит, мы немедленно открываем оперативный штаб с целью как можно быстрее отслеживать, контролировать и выдавать тревогу». В условиях оперативного штаба команда быстро распределяет задачи в зависимости от пути атаки, например, отслеживание на блокчейне, анализ инфраструктуры, оценка рисков доменных имен и мониторинг повторных атак. По мере развития события доверенные проектные команды, биржи, партнерские команды и жертвы начинают присоединяться, обмениваясь разведывательной информацией и синхронизируя действия, одновременно строго контролируя риск утечки информации. Косс также признал, что на ранних стадиях инцидента профессиональные команды безопасности должны действовать первыми: «Скорость вмешательства правоохранительных органов относительно медленная, им нужно время для сбора доказательств, в то время как атака может привести к огромным потерям всего за несколько минут, поэтому нам нужна скорость, мы должны действовать до того, как произойдут более серьезные потери». Это также объясняет, почему команды безопасности в отрасли часто несут наибольшее давление реагирования в самые ранние моменты.

Автор: 九九 & Lisa
Редактор: 77
Фон

1 декабря 2025 года старый децентрализованный агрегатор доходов Yearn был атакован, убытки составили около 9 миллионов долларов. Ниже представлено конкретное анализирование команды безопасности SlowMist по этому инциденту:

Основная причина
В контракте пула yETH Weighted Stableswap в Yearn логика функции расчета объема (_calc_supply) использовала небезопасные математические операции, что позволило возникнуть переполнению и округлению, что привело к значительным отклонениям при расчете нового объема и произведения виртуального баланса, в конечном итоге позволив злоумышленнику манипулировать ликвидностью до определенного значения, а затем создать превышающее ожидаемое количество токенов LP для получения прибыли.

Автор: Лиза & Йохан
Редактор: 77
Фон
Недавно мы получили запрос от пользователя, который стал жертвой фишинга в тот же день. Этот пользователь обнаружил необычные записи авторизации в своем кошельке, пытался отменить авторизацию, но не смог, и предоставил затронутый адрес кошелька 9w2e3kpt5XUQXLdGb51nRWZoh4JFs6FL7TdEYsvKq6Wb. Мы провели анализ на цепочке и выяснили, что права владельца аккаунта этого пользователя были переданы на адрес GKJBELftW5Rjg24wP88NRaKGsEBtrPLgMiv3DhbJwbzQ. Кроме того, у этого пользователя уже было украдено активов на сумму более 3 миллионов долларов, еще активы на сумму около 2 миллионов долларов находятся в DeFi-протоколе, но не могут быть переведены (в данный момент активы на сумму около 2 миллионов долларов были успешно спасены с помощью соответствующего DeFi).

Автор: 77
Редактор: 77
19 ноября 2025 года Министерство финансов США, Австралийское министерство иностранных дел и торговли (DFAT) и Министерство иностранных дел, Содружества и развития Великобритании (FCDO) совместно объявили о введении нового раунда санкций против ряда российских поставщиков Bulletproof Hosting (BPH) и связанных с ними лиц. Причина - их поддержка киберпреступной деятельности, включая программы-вымогатели. Основные цели санкций включают ключевых лиц Media Land и связанные с ними структуры, а также ключевых членов группы Aeza и связанные с ними подставные компании.
（https://home.treasury.gov/news/press-releases/sb0319）

Автор: Joker & Ccj
Редактор: 77
Фон
Недавно в сообществе NPM вновь разразилась масштабная атака с использованием отравленных пакетов NPM, это событие имеет высокую связь с атакой Shai-Hulud в сентябре 2025 года. В этом пакете NPM вредоносный код крадет ключи разработчиков и API ключи, а также такие чувствительные данные, как переменные окружения, используя ключи для создания открытых репозиториев и загрузки этих украденных чувствительных данных.
Инструмент динамического мониторинга безопасности и разведки угроз Web3, разработанный компанией SlowMist, MistEye, оперативно реагирует и быстро предоставляет соответствующую разведывательную информацию о угрозах, обеспечивая клиентов ключевой безопасностью.

Недавно многосторонняя группа мониторинга санкций (Multilateral Sanctions Monitoring Team, далее именуемая «MSMT») опубликовала отчет под названием (Нарушение и уклонение от санкций ООН DPRK через деятельность работников в области сетевых и информационных технологий). Этот отчет систематически анализирует полную картину того, как Корейская Народно-Демократическая Республика (DPRK) использует киберсилу, работников информационных технологий и криптовалютную деятельность для уклонения от санкций ООН, кражи чувствительных технологий и сбора средств. В этой статье будет представлен обзор ключевых моментов отчета, чтобы помочь читателям быстро понять тенденции развития и изменения методов киберугроз DPRK, тем самым повысив осведомленность и способности к предотвращению сложных угроз кибербезопасности.

21 ноября, награждение 2025 года Гонконгской премии в области информационных и коммуникационных технологий (HKICT Awards 2025), организованное Офисом цифровой политики правительства Специального административного района Гонконг, состоялось в Гонконгском конгресс-центре. Система отслеживания противодействия отмыванию денег SlowMist, MistTrack, получила золотую награду в категории Финансовые технологии (Регуляторные технологии: Регулирование и управление рисками).

Партнер SlowMist и CPO — Keywolf был приглашен на церемонию и произнес речь с благодарностью за награду, став свидетелем этого момента вместе с гостями из правительства, регулирующих органов и финансовой отрасли.

Эта награда подтверждает не только технологические возможности и практическую ценность MistTrack, но также отражает достижения SlowMist в области безопасности блокчейна и борьбы с отмыванием денег за многие годы, а также обеспечивает мощную поддержку для соблюдения нормативных требований в сфере финансовых технологий и цифровых активов в Гонконге.

Фон
С ростом популярности соревнований по реальной торговле большими AI моделями, все больше крипто-сообществ и разработчиков начинают пробовать автоматизированную торговлю на основе AI, множество открытых решений также быстро внедряются. Однако в этих проектах не без рисков безопасности.

NOFX AI - это открытая автоматизированная торговая система для криптовалютных фьючерсов, основанная на DeepSeek/Qwen AI, поддерживающая такие биржи, как Binance, Hyperliquid и Aster DEX. Команда безопасности SlowMist получила первоначальную информацию от @Endlessss20, подозревая, что эта система может привести к утечке API ключей биржи, поэтому была проведена безопасность анализа.

Автор: 77 & Lisa
Редактирование: 77
4 ноября 2025 года Офис по контролю за иностранными активами Министерства финансов США (OFAC) объявил о введении нового раунда санкций против нескольких сотрудников банков и финансовых учреждений Северной Кореи, в результате чего были заморожены все активы 8 физических лиц и 2 юридических лиц на территории США или под контролем граждан США. Эти лица и структуры обвиняются в том, что они собирали средства для северокорейского режима с помощью киберпреступности, мошенничества с трудом в информационных технологиях (IT) и других методов, чтобы поддержать его ядерную программу и программы ракет.

https://home.treasury.gov/news/press-releases/sb0302
Детали санкций

11月3日，由香港财经事务及库务局、香港商务及经济发展局和香港投资推广署联合主办，并由香港金融管理局、香港证券及期货事务监察委员会及香港保险业监管局合办的“第十届香港金融科技周「Hong Kong Fintech Week 2025」在香港会议展览中心隆重揭幕。

Как одно из ведущих мировых мероприятий в области финансовых технологий, текущая неделя финансовых технологий проходит под темой «Запуск новой эры финансовых технологий», привлекая более 37,000 участников из более чем 100 экономик, около 800 спикеров, более 700 экспонентов и более 30 международных и материковых китайских делегаций, еще раз подтверждая мощную привлекательность и инновационную активность Гонконга как глобального финансового технологического узла.

Автор：Kong & Lisa
Редактирование：77
Фон
3 ноября 2025 года старый децентрализованный автоматический маркет-мейкер протокол Balancer v2 подвергся атаке, в результате чего несколько проектов, включая его форк-протокол, потеряли около 120 миллионов долларов на нескольких цепочках, что усугубило и без того неблагоприятную ситуацию в экосистеме DeFi. Ниже представлено конкретное исследование команды безопасности SlowMist по этому инциденту:
Коренная причина
В реализации Composable Stable Pool Balancer v2 (основанной на Stable Math Curve StableSwap) существует проблема потери точности при целочисленных фиксированных вычислениях масштабирующих факторов (scalingFactors), что приводит к возникновению небольших, но накопительных ценовых расхождений/ошибок при обмене токенов. Злоумышленники используют небольшие обмены при низкой ликвидности, чтобы увеличить эту ошибку для значительного накопления прибыли.

В ноябре 2025 года Гонконг станет центром глобальных финансовых технологий и Web3. Как компания, сосредоточенная на безопасности блокчейн-экосистемы, SlowMist представит свои разработки на Гонконгской неделе финансовых технологий и на множестве мероприятий в индустрии Web3, обсуждая ключевые темы, такие как безопасность блокчейна, соблюдение нормативных требований и борьба с отмыванием денег (AML), делясь последними результатами исследований и практическим опытом.
Гонконгская неделя финансовых технологий 2025 x StartmeupHK Фестиваль стартапов
Гонконгская неделя финансовых технологий 2025 x StartmeupHK Фестиваль стартапов пройдет с 3 ноября по 7 ноября в Гонконгском центре конференций и выставок. Как главное событие в области инновационных технологий в Гонконге, Гонконгская неделя финансовых технологий 2025 x StartmeupHK Фестиваль стартапов организован Управлением финансовых дел и казначейства Гонконга, Департаментом коммерции и экономического развития Гонконга и Управлением по продвижению инвестиций Гонконга, а также в сотрудничестве с Управлением финансового регулирования Гонконга, Комиссией по ценным бумагам и фьючерсам Гонконга и Управлением страхового надзора Гонконга. Темой мероприятия является «Двигатели нового времени финансовых технологий», ожидается, что оно привлечет более 100 экономик, 37,000 участников, 800 спикеров и более 700 выставочных организаций, чтобы совместно обсудить будущее финансовых технологий и возможности для развития.

Автор: Johan & Lisa
Редактировать: 77
16 октября DeFi проект Typus Finance на цепи Sui стал жертвой хакерской атаки, официально выпущен отчет о событии атаки, в котором выражена благодарность команде безопасности Slow Mist за помощь в расследовании и отслеживании:

(https://medium.com/@TypusFinance/typus-finance-tlp-oracle-exploit-post-mortem-report-response-plan-ce2d0800808b)
本文将深入分析本次攻击的原因，并探讨 Sui Move 智能合约的权限控制的特点。
Подробное описание шагов атаки
Мы анализируем первую атаку транзакции:
https://suivision.xyz/txblock/6KJvWtmrZDi5MxUPkJfDNZTLf2DFGKhQA2WuVAdSRUgH