慢雾 SlowMist

Tác giả: enze & Lisa
Chỉnh sửa: 77
Bối cảnh
Ngày 8 tháng 1 năm 2026, giao thức tính toán phi tập trung ngoại tuyến Truebit Protocol đã bị tấn công, kẻ tấn công lợi dụng lỗ hổng trong hợp đồng để thu lợi khoảng 8.535 ETH (tương đương khoảng 26,44 triệu USD). Dưới đây là phân tích chi tiết về sự kiện tấn công này từ đội an ninh SlowMist.

Nguyên nhân gốc rễ
Hợp đồng Purchase của giao thức Truebit Protocol đã bị lỗi khi tính toán số lượng ETH cần thiết để đúc token TRU do thiếu bảo vệ chống tràn trong phép toán cộng số nguyên, dẫn đến kết quả tính toán giá bị về 0. Điều này cho phép kẻ tấn công đúc hàng loạt token với chi phí gần như bằng 0 và chiếm đoạt toàn bộ quỹ hợp đồng.

Từ ngày 1 tháng 2 đến ngày 1 tháng 4, dự án lãnh đạo Web3 (khóa học thứ hai) do Viện Tài chính Toàn cầu (GFI) phối hợp với HashKey Group và Viện Nghiên cứu Công nghệ Hàng đầu (FTI) tổ chức đã diễn ra thành công tại Hồng Kông. Vào ngày 3 tháng 1, CISO của SlowMist 23pds được mời tham gia chia sẻ trong buổi học công khai, cùng với nhiều khách mời và học viên đến từ lĩnh vực tài chính truyền thống, blockchain và công nghệ tiên tiến, đã có những trao đổi sâu sắc về các thách thức an ninh và vấn đề quản trị rủi ro trong quá trình phát triển Web3.

Trong buổi học công khai này, 23pds以(Chi phí của lòng tin: Tiền điện tử an toàn trong quá khứ và hiện tại) làm chủ đề, kết hợp nhiều năm nghiên cứu về an ninh blockchain và kinh nghiệm xử lý các vụ việc thực tế, hệ thống đã tổng hợp quá trình tiến hóa của các vấn đề an ninh Web3, và từ góc độ của kẻ tấn công và người dùng phân tích lý do tại sao lòng tin thường bị lạm dụng trong thế giới tiền điện tử, cũng như các bên tham gia ngành nên thiết lập ý thức an toàn lâu dài và bền vững như thế nào.

Do giới hạn về dung lượng, bài viết này chỉ liệt kê những nội dung chính trong báo cáo phân tích, nội dung đầy đủ có thể tải xuống PDF ở cuối bài.

Một, tổng quan
Năm 2025, ngành công nghiệp blockchain tiếp tục phát triển nhanh chóng, môi trường tài chính vĩ mô, sự không chắc chắn trong quản lý và cường độ tấn công chồng chéo lên nhau, khiến tình hình an ninh trong năm trở nên phức tạp rõ rệt. Cụ thể, các tổ chức hacker và tội phạm ngầm chuyên nghiệp hóa cao độ, hacker liên quan đến Bắc Triều Tiên thường xuyên hoạt động, phần mềm độc hại đánh cắp thông tin, chiếm đoạt khóa riêng và lừa đảo xã hội trở thành những phương thức tấn công chính; hơn nữa, quản lý quyền DeFi và phát hành Meme đã nhiều lần gây ra tổn thất lớn, dịch vụ RaaS/MaaS giảm thấp rào cản tội phạm, khiến những kẻ tấn công không có nền tảng kỹ thuật cũng có thể nhanh chóng thực hiện tấn công. Trong khi đó, hệ thống rửa tiền ngầm ngày càng trưởng thành, cụm lừa đảo Đông Nam Á, công cụ bảo mật và cơ sở hạ tầng trộn tiền tạo thành các kênh tài chính đa tầng. Về mặt quản lý, các quốc gia đang thúc đẩy nhanh chóng việc triển khai khung AML/CFT, nhiều hành động thực thi xuyên biên giới đã nâng cao hiệu quả theo dõi trên chuỗi và đông lạnh tài sản, quản lý dần chuyển từ việc đánh vào từng điểm đơn lẻ sang việc bao vây hệ thống, ranh giới pháp lý của các giao thức bảo mật cũng đang được định nghĩa lại, phân biệt rõ hơn giữa thuộc tính kỹ thuật và mục đích tội phạm.

自慢雾(SlowMist) 上线 MistTrack 被盗表单提交功能以来，我们每天都会收到大量受害者的求助信息，希望我们提供资金追踪和挽救的帮助，其中不乏丢失上千万美金的大额受害者。基于此，本系列通过对每个季度收到的被盗求助进行统计和分析，旨在以脱敏后的真实案例剖析常见或罕见的作恶手法，帮助行业参与者更好地理解 và防范安全风险，保护自己的资产。
据统计，MistTrack Team 于 2025 年 Q4 季度共收到 300 份被盗表单，包括 210 份国内表单和 90 份海外表单，我们为这些表单做了免费的评估社区服务。（Ps. 此数据仅针对来自表单提交的 Case，不包括通过邮箱或其他渠道联系的 Case）

Bối cảnh
Giờ Bắc Kinh sáng nay, @zachxbt đã đăng thông báo trên kênh rằng "Một số người dùng Trust Wallet đã báo cáo rằng, trong vài giờ qua, tiền trong địa chỉ ví của họ đã bị đánh cắp". Sau đó, Trust Wallet cũng đã phát đi thông báo chính thức, xác nhận rằng phiên bản 2.68 của tiện ích mở rộng Trust Wallet có rủi ro bảo mật, nhắc nhở tất cả người dùng đang sử dụng phiên bản 2.68 nên ngay lập tức vô hiệu hóa phiên bản này và nâng cấp lên phiên bản 2.69.

Kỹ chiến thuật
Đội ngũ an ninh SlowMist đã ngay lập tức tiến hành phân tích các mẫu liên quan sau khi nhận được thông tin tình báo. Chúng ta hãy xem xét so sánh mã nguồn cốt lõi của hai phiên bản 2.67 và 2.68 đã được phát hành trước đó:

Tác giả: Chín Chín
Biên tập: Kong
Biên tập viên: 77
Giới thiệu
Hợp đồng vĩnh viễn phi tập trung thông qua cơ chế "chia sẻ thanh khoản" và "định giá oracle" đã tái tạo giao dịch sản phẩm phái sinh có đòn bẩy cao trên chuỗi. Khác với giao dịch giao ngay AMM, hệ thống hợp đồng vĩnh viễn liên quan đến việc tính toán ký quỹ phức tạp, điều chỉnh động lãi lỗ và trò chơi thanh lý. Một sai lệch logic nhỏ - bất kể là độ chính xác của giá cả bị làm tròn hay độ trễ cập nhật oracle - đều có thể dẫn đến việc giao thức không đủ khả năng thanh toán hoặc tài sản của người dùng bị mất trắng.
Hướng dẫn này nhằm phân tích cấu trúc cốt lõi của các hệ thống như vậy, phân tích các tình huống rủi ro và cung cấp danh sách kiểm tra đánh giá thực tiễn cho các chuyên gia kiểm toán an toàn hợp đồng thông minh hoặc nhà nghiên cứu an ninh blockchain.

Gần đây, với việc nhiều phương tiện truyền thông uy tín ở Hồng Kông lần lượt công bố tổng kết và đánh giá kết quả giai đoạn đầu của chương trình tài trợ thí điểm blockchain và tài sản kỹ thuật số của Cyberport Hồng Kông, hệ thống theo dõi chống rửa tiền MistTrack do SlowMist tự phát triển, với tư cách là một trong những dự án vào vòng trong, cũng đã nhận được sự công nhận thêm về những thành quả thực tiễn trong lĩnh vực an ninh và tuân thủ tài sản kỹ thuật số.

https://dw-media.tkww.hk/epaper/wwp/20251211/b01-1211.pdf
Tiến trình ứng dụng và thành quả giai đoạn của MistTrack

「Chương trình tài trợ thí điểm về blockchain và tài sản kỹ thuật số」 chính thức khởi động vào tháng 6 năm nay, nhằm hỗ trợ các ứng dụng blockchain và tài sản kỹ thuật số có tính mẫu mực và ảnh hưởng lớn trong việc thử nghiệm và hiện thực hóa trong môi trường thực tế. Chương trình nhận được sự quan tâm mạnh mẽ, với hơn 200 đơn đăng ký, cuối cùng chỉ có 9 dự án thành công vào vòng trong, giai đoạn đầu liên quan đến quy mô tài sản vượt quá 1.2 tỷ đô la Hồng Kông. Giám đốc blockchain và tài sản kỹ thuật số của Cyberport, Lý Ý Chính cho biết, gần một nửa sản phẩm thí điểm đã thành công hoặc đang chuẩn bị thương mại hóa, cho thấy chương trình này có hiệu quả đáng kể trong việc thúc đẩy ứng dụng đổi mới. Trong đó, SlowMist được xác định là dự án đại diện cho “công cụ an ninh và tuân thủ tài sản kỹ thuật số”.

Gần đây, phương tiện truyền thông blockchain nổi tiếng toàn cầu Cointelegraph đã phát hành một báo cáo chuyên đề có tên (Gặp gỡ các thám tử crypto onchain chống lại tội phạm tốt hơn cả cảnh sát), tập trung vào các thám tử và nghiên cứu viên trong ngành an toàn crypto. Người sáng lập SlowMist, Cos (余弦) là một trong những người được phỏng vấn, chia sẻ quy trình xử lý của đội ngũ trong các sự kiện an toàn lớn, hệ thống sản phẩm, cũng như quan sát về tình hình an toàn của ngành.

Tốc độ là ưu tiên hàng đầu trong an toàn
Cos trong cuộc phỏng vấn đã giới thiệu về cơ chế phản ứng sự kiện chuẩn hóa của SlowMist. Ông chỉ ra rằng, các cuộc tấn công trên chuỗi thường có đặc điểm "phát tán nhanh, xuyên chuỗi rộng, cửa sổ rất ngắn", do đó tốc độ phản ứng gần như quyết định giới hạn tổn thất cuối cùng của sự kiện. "Khi sự kiện xảy ra, chúng tôi sẽ ngay lập tức mở phòng tác chiến, mục tiêu là theo dõi và kiểm soát nhanh chóng cũng như phát ra cảnh báo." Trong môi trường phòng tác chiến, đội ngũ sẽ phân công nhanh chóng dựa trên đường tấn công, chẳng hạn như theo dõi trên chuỗi, phân tích cơ sở hạ tầng, đánh giá rủi ro tên miền và giám sát tấn công lần hai. Khi sự kiện tiến triển, các bên dự án đáng tin cậy, sàn giao dịch, đội ngũ hợp tác và nạn nhân sẽ lần lượt tham gia, chia sẻ thông tin, đồng bộ hành động, đồng thời kiểm soát nghiêm ngặt rủi ro rò rỉ thông tin. Cos cũng thừa nhận rằng, trong giai đoạn đầu của sự kiện, đội ngũ an toàn chuyên nghiệp phải đi trước một bước: "Tốc độ can thiệp của các cơ quan thực thi pháp luật tương đối chậm, họ cần thời gian để thu thập chứng cứ, trong khi cuộc tấn công có thể gây ra tổn thất lớn chỉ trong vài phút, vì vậy chúng tôi cần tốc độ, phải hành động trước khi tổn thất lớn hơn xảy ra." Điều này cũng giải thích tại sao các đội ngũ an toàn trong ngành thường phải chịu áp lực phản ứng sớm nhất và nặng nề nhất.

Tác giả: Chín Chín & Lisa
Biên tập: 77
Bối cảnh

Ngày 1 tháng 12 năm 2025, giao thức tổng hợp lợi nhuận phi tập trung lâu đời Yearn đã bị tấn công, thiệt hại khoảng 9 triệu đô la Mỹ. Dưới đây là phân tích cụ thể của nhóm an ninh SlowMist về sự kiện tấn công này:

Nguyên nhân cơ bản
Trong hợp đồng yETH Weighted Stableswap Pool của Yearn, logic hàm tính toán cung (_calc_supply) do sử dụng phương pháp toán học không an toàn, cho phép xảy ra tình trạng tràn và làm tròn trong quá trình tính toán, dẫn đến sai lệch nghiêm trọng khi tính toán sản lượng mới và tích sản ảo, cuối cùng cho phép kẻ tấn công có thể điều khiển tính thanh khoản đến giá trị cụ thể và đúc ra số lượng LP token vượt quá dự kiến để thu lợi.

Tác giả: Lisa & Johan
Biên tập: 77
Bối cảnh
Gần đây, chúng tôi nhận được sự trợ giúp từ một người dùng, người đã gặp phải cuộc tấn công lừa đảo vào ngày hôm đó. Người dùng này phát hiện có các ghi chép ủy quyền bất thường trong ví, cố gắng thu hồi ủy quyền nhưng không thể hoàn thành, và đã cung cấp địa chỉ ví bị ảnh hưởng 9w2e3kpt5XUQXLdGb51nRWZoh4JFs6FL7TdEYsvKq6Wb. Chúng tôi thông qua phân tích trên chuỗi phát hiện rằng quyền Owner của tài khoản người dùng này đã được chuyển đến địa chỉ GKJBELftW5Rjg24wP88NRaKGsEBtrPLgMiv3DhbJwbzQ. Hơn nữa, người dùng này đã mất hơn 3 triệu đô la Mỹ tài sản, và khoảng 2 triệu đô la Mỹ tài sản còn lại được lưu trữ trong giao thức DeFi nhưng không thể chuyển nhượng (hiện tại phần tài sản trị giá khoảng 2 triệu đô la Mỹ đã được cứu trợ thành công với sự hỗ trợ của DeFi liên quan).

Tác giả：77
Biên tập viên：77
Ngày 19 tháng 11 năm 2025, Văn phòng Kiểm soát Tài sản Nước ngoài của Bộ Tài chính Hoa Kỳ (OFAC), Bộ Ngoại giao và Thương mại Úc (DFAT) và Bộ Ngoại giao, Liên bang và Phát triển của Vương quốc Anh (FCDO) đã đồng tuyên bố áp đặt một đợt trừng phạt mới đối với nhiều nhà cung cấp dịch vụ máy chủ chống đạn (Bulletproof Hosting, BPH) của Nga và các cá nhân liên quan. Nguyên nhân là do họ hỗ trợ các hoạt động tội phạm mạng, bao gồm cả phần mềm tống tiền. Các đối tượng bị trừng phạt chính bao gồm người đứng đầu Media Land và các thực thể liên quan của họ, cũng như các thành viên chủ chốt của Aeza Group và các công ty bình phong liên quan.
（https://home.treasury.gov/news/press-releases/sb0319）

Tác giả：Joker & Ccj
Biên tập：77
Bối cảnh
Gần đây, cộng đồng NPM lại bùng phát một sự kiện tiêm độc NPM quy mô lớn, sự kiện này có mối liên hệ chặt chẽ với sự kiện tấn công Shai-Hulud vào tháng 9 năm 2025, mã độc trong gói NPM lần này đánh cắp khóa phát triển, khóa API và các biến môi trường nhạy cảm khác, sử dụng khóa để tạo kho công khai và tải lên những thông tin nhạy cảm đã bị đánh cắp.
Công cụ giám sát an ninh động và tình báo đe dọa Web3 do SlowMist tự phát triển, MistEye, đã phản ứng ngay lập tức, nhanh chóng cung cấp thông tin tình báo liên quan, mang lại bảo đảm an ninh quan trọng cho khách hàng.

Gần đây, Nhóm Giám sát Chế tài Đa phương (gọi tắt là “MSMT”) đã công bố một báo cáo có tên (DPRK thông qua hoạt động của công nhân mạng và công nghệ thông tin vi phạm và lẩn tránh chế tài của Liên Hợp Quốc). Báo cáo này hệ thống hóa toàn bộ hoạt động của Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) trong việc sử dụng sức mạnh mạng, công nhân công nghệ thông tin và các hoạt động tiền mã hóa để lẩn tránh chế tài của Liên Hợp Quốc, đánh cắp công nghệ nhạy cảm và huy động vốn. Bài viết này sẽ tổng hợp nội dung cốt lõi của báo cáo, giúp độc giả nhanh chóng nắm bắt xu hướng phát triển và biến đổi của các mối đe dọa mạng từ DPRK, từ đó nâng cao nhận thức và khả năng phòng ngừa trước các mối đe dọa an ninh mạng phức tạp.

Vào ngày 21 tháng 11, lễ trao giải Giải thưởng Công nghệ Thông tin và Truyền thông Hồng Kông 2025 (HKICT Awards 2025) do Văn phòng Chính sách số của Chính phủ Đặc khu Hành chính Hồng Kông tổ chức đã được diễn ra long trọng tại Trung tâm Hội nghị và Triển lãm Hồng Kông, hệ thống theo dõi chống rửa tiền blockchain MistTrack thuộc SlowMist đã giành giải vàng trong hạng mục Giải thưởng Công nghệ Tài chính (Công nghệ Quản lý: Quản lý và Giám sát Rủi ro).

Đối tác và CPO của SlowMist - Keywolf đã được mời tham dự lễ trao giải và phát biểu cảm tưởng nhận giải, cùng với các khách mời đến từ chính phủ, cơ quan quản lý và ngành tài chính chứng kiến khoảnh khắc này.

Giải thưởng này không chỉ là sự công nhận năng lực kỹ thuật và giá trị ứng dụng thực tế của MistTrack, mà còn phản ánh những thành quả mà SlowMist đã gặt hái sau nhiều năm nghiên cứu trong lĩnh vực an ninh blockchain và chống rửa tiền, đồng thời cung cấp hỗ trợ mạnh mẽ cho sự phát triển tuân thủ của ngành công nghệ tài chính và tài sản kỹ thuật số ở Hồng Kông.

Bối cảnh
Với sự gia tăng của cuộc thi giao dịch thực tế với mô hình AI lớn, ngày càng nhiều cộng đồng tiền mã hoá và nhà phát triển bắt đầu thử nghiệm giao dịch tự động dựa trên AI, nhiều giải pháp mã nguồn mở cũng được đưa vào sử dụng nhanh chóng. Tuy nhiên, trong số các dự án này không thiếu những mối nguy hiểm về an ninh.

NOFX AI là một hệ thống giao dịch tự động tiền mã hoá dựa trên DeepSeek/Qwen AI, hỗ trợ các sàn giao dịch như Binance, Hyperliquid và Aster DEX. Đội ngũ an ninh Slow Mist đã nhận được thông tin ban đầu từ @Endlessss20, nghi ngờ rằng hệ thống này có thể dẫn đến rò rỉ API Key của các sàn giao dịch, vì vậy đã tiến hành phân tích an ninh.

Tác giả: 77 & Lisa
Biên tập: 77
Ngày 4 tháng 11 năm 2025, Văn phòng Kiểm soát Tài sản Nước ngoài của Bộ Tài chính Hoa Kỳ (OFAC) thông báo về việc áp đặt vòng trừng phạt mới đối với nhiều nhân viên ngân hàng và tổ chức tài chính của Triều Tiên, hành động này đã phong tỏa tất cả tài sản của 8 cá nhân và 2 thực thể trong lãnh thổ Hoa Kỳ hoặc do người Mỹ kiểm soát. Những cá nhân và thực thể này bị cáo buộc đã huy động vốn cho chế độ Triều Tiên thông qua tội phạm mạng, gian lận lao động công nghệ thông tin (IT), nhằm hỗ trợ cho chương trình hạt nhân và tên lửa của họ.

https://home.treasury.gov/news/press-releases/sb0302
Chi tiết trừng phạt

11 tháng 3, do Cục Tài chính và Kho bạc Hồng Kông, Cục Thương mại và Phát triển Kinh tế Hồng Kông và Cục Xúc tiến Đầu tư Hồng Kông đồng tổ chức, cùng với Cơ quan Quản lý Tài chính Hồng Kông, Ủy ban Chứng khoán và Đầu tư Hồng Kông và Cơ quan Quản lý Ngành Bảo hiểm Hồng Kông đồng tổ chức, "Tuần lễ công nghệ tài chính Hồng Kông lần thứ mười 'Hong Kong Fintech Week 2025'" sẽ được khai mạc trọng thể tại Trung tâm Hội nghị và Triển lãm Hồng Kông.

Là một trong những sự kiện công nghệ tài chính hàng đầu thế giới, tuần lễ công nghệ tài chính này có chủ đề "Kích hoạt kỷ nguyên mới của công nghệ tài chính", thu hút hơn 37.000 người tham dự từ hơn 100 nền kinh tế, khoảng 800 diễn giả, hơn 700 tổ chức triển lãm và hơn 30 đoàn đại diện quốc tế cũng như từ Trung Quốc đại lục tham gia, một lần nữa chứng minh sức hấp dẫn mạnh mẽ và sự năng động đổi mới của Hồng Kông như một trung tâm công nghệ tài chính toàn cầu.

Tác giả: Kong & Lisa
Biên tập: 77
Bối cảnh
Vào ngày 3 tháng 11 năm 2025, giao thức tạo lập thị trường tự động phi tập trung lâu đời Balancer v2 đã bị tấn công, bao gồm nhiều dự án trong đó có cả fork của nó đã mất khoảng 120 triệu đô la trên nhiều chuỗi, điều này càng làm trầm trọng thêm tình hình không mấy sáng sủa của hệ sinh thái DeFi. Dưới đây là phân tích cụ thể của đội ngũ bảo mật SlowMist về sự kiện tấn công lần này:
Nguyên nhân gốc rễ
Trong việc triển khai Composable Stable Pool của Balancer v2 (dựa trên Stable Math của Curve StableSwap), có vấn đề mất độ chính xác trong phép toán số nguyên cố định của hệ số tỷ lệ (scalingFactors), dẫn đến sự chênh lệch/ sai số nhỏ nhưng có thể tích lũy theo kiểu lãi kép trong việc trao đổi token. Kẻ tấn công lợi dụng việc trao đổi nhỏ trong điều kiện thanh khoản thấp để phóng đại sai số này nhằm thu lợi nhuận tích lũy đáng kể.

Vào tháng 11 năm 2025, Hong Kong sẽ trở thành tâm điểm của công nghệ tài chính và Web3 toàn cầu. Là một công ty tình báo về mối đe dọa tập trung vào an toàn hệ sinh thái blockchain, SlowMist sẽ xuất hiện tại Hong Kong Fintech Week và nhiều sự kiện trong ngành Web3, xoay quanh các vấn đề then chốt như an ninh blockchain, tuân thủ quy định và phòng chống rửa tiền (AML), chia sẻ những kết quả nghiên cứu và kinh nghiệm thực tiễn mới nhất.
Hong Kong Fintech Week 2025 x StartmeupHK Festival Khởi nghiệp
Hong Kong Fintech Week 2025 x StartmeupHK Festival Khởi nghiệp sẽ được tổ chức từ ngày 3 tháng 11 đến ngày 7 tháng 11 tại Trung tâm Hội nghị và Triển lãm Hong Kong. Là sự kiện công nghệ hàng đầu của Hong Kong, Hong Kong Fintech Week 2025 x StartmeupHK Festival Khởi nghiệp được đồng tổ chức bởi Cục Tài chính và Kho bạc Hong Kong, Cục Thương mại và Phát triển Kinh tế Hong Kong và Cục Xúc tiến Đầu tư Hong Kong, cùng với sự hợp tác của Ngân hàng Trung ương Hong Kong, Ủy ban Chứng khoán và Hàng hóa Hong Kong và Cục Quản lý Ngành Bảo hiểm Hong Kong. Sự kiện với chủ đề “Kích hoạt kỷ nguyên công nghệ tài chính mới” dự kiến sẽ thu hút hơn 100 nền kinh tế với 37,000 người tham dự, 800 diễn giả và hơn 700 tổ chức triển lãm, cùng nhau thảo luận về tương lai và cơ hội phát triển của công nghệ tài chính.

Tác giả: Johan & Lisa
Biên tập: 77
Ngày 16 tháng 10, dự án DeFi Typus Finance trên chuỗi Sui đã bị tấn công, chính thức đã phát hành báo cáo sự cố tấn công và trong báo cáo có lời cảm ơn đội ngũ an ninh Slow Mist đã hỗ trợ điều tra và truy tìm:

(https://medium.com/@TypusFinance/typus-finance-tlp-oracle-exploit-post-mortem-report-response-plan-ce2d0800808b)
Nội dung này sẽ phân tích sâu về nguyên nhân của cuộc tấn công lần này và khám phá đặc điểm của việc kiểm soát quyền trong hợp đồng thông minh Sui Move.
Chi tiết các bước tấn công
Chúng tôi phân tích giao dịch tấn công đầu tiên:
https://suivision.xyz/txblock/6KJvWtmrZDi5MxUPkJfDNZTLf2DFGKhQA2WuVAdSRUgH