慢雾 SlowMist
通過驗證的創作者
慢雾(SlowMist) 是一家行业领先的区块链安全公司,主要通过安全审计及反洗钱追踪溯源等服务广大客户,已有商业客户上千家,客户分布在十几个主要国家与地区。
0 關注
32.7K+ 粉絲
867 點讚數
145 分享數
查看原文
2644 萬美元被盜背後:Truebit Protocol 合約漏洞分析
作者:enze & Lisa
編輯:77
背景
2026 年 1 月 8 日,去中心化離線計算協議 Truebit Protocol 遭受攻擊,攻擊者利用合約漏洞獲利約 8,535 ETH(約合 2,644 萬美元)。以下爲慢霧安全團隊對本次攻擊事件的詳細分析。
根本原因
Truebit Protocol 的 Purchase 合約在計算鑄造 TRU 代幣所需 ETH 數量時,由於整數加法運算缺乏溢出保護,導致價格計算結果異常歸零,攻擊者得以近乎零成本鑄造大量代幣並套取合約儲備金。
編輯:77
背景
2026 年 1 月 8 日,去中心化離線計算協議 Truebit Protocol 遭受攻擊,攻擊者利用合約漏洞獲利約 8,535 ETH(約合 2,644 萬美元)。以下爲慢霧安全團隊對本次攻擊事件的詳細分析。
根本原因
Truebit Protocol 的 Purchase 合約在計算鑄造 TRU 代幣所需 ETH 數量時,由於整數加法運算缺乏溢出保護,導致價格計算結果異常歸零,攻擊者得以近乎零成本鑄造大量代幣並套取合約儲備金。
查看原文
慢霧 CISO 23pds 受邀參與 Web3 領袖項目公開課分享
1 月 2 日至 1 月 4 日,由全球金融科技學院(GFI) 聯合 HashKey Group 、前沿科技研究院(FTI) 推出的 Web3 領袖項目(二期班) 在香港順利舉行。1 月 3 日,慢霧(SlowMist) CISO 23pds 受邀參與公開課分享,與來自傳統金融、區塊鏈及前沿科技領域的多位嘉賓和學員,圍繞 Web3 發展過程中的安全挑戰與風險治理問題展開深入交流。
在本次公開課上,23pds 以《信任的代價:加密貨幣安全的前世與今生》爲主題,結合多年區塊鏈安全研究和真實案件處置經驗,系統梳理了 Web3 安全問題的演變過程,並從攻擊者與用戶兩個視角分析了信任爲何在加密世界中頻繁被濫用,以及行業參與者應該如何建立長期、可持續的安全意識。
在本次公開課上,23pds 以《信任的代價:加密貨幣安全的前世與今生》爲主題,結合多年區塊鏈安全研究和真實案件處置經驗,系統梳理了 Web3 安全問題的演變過程,並從攻擊者與用戶兩個視角分析了信任爲何在加密世界中頻繁被濫用,以及行業參與者應該如何建立長期、可持續的安全意識。
查看原文
慢霧出品 | 2025 區塊鏈安全與反洗錢年度報告
由於篇幅限制,本文僅羅列分析報告中的關鍵內容,完整內容可通過文末 PDF 下載。
一、概述
2025 年,區塊鏈行業持續高速演化,宏觀金融環境、監管不確定性與攻擊強度疊加,使全年安全態勢顯著複雜。具體來看,黑客組織和地下犯罪高度專業化,朝鮮相關黑客頻繁活躍,信息竊取木馬、私鑰劫持與社工釣魚成爲主要攻擊手段;此外,DeFi 權限管理與 Meme 發行等多次引發大額損失,RaaS/MaaS 服務化降低了犯罪門檻,使無技術背景攻擊者也能快速實施攻擊。與此同時,地下洗錢體系不斷成熟,東南亞詐騙集羣、隱私工具與混幣設施構成多層級資金通道。在監管方面,各國加速推進 AML/CFT 框架落地,多起跨境執法行動提升了鏈上追蹤與資產凍結效率,監管逐步由單點打擊轉向系統化圍堵,隱私協議法律邊界也在重新定義,更加區分技術屬性與犯罪用途。
一、概述
2025 年,區塊鏈行業持續高速演化,宏觀金融環境、監管不確定性與攻擊強度疊加,使全年安全態勢顯著複雜。具體來看,黑客組織和地下犯罪高度專業化,朝鮮相關黑客頻繁活躍,信息竊取木馬、私鑰劫持與社工釣魚成爲主要攻擊手段;此外,DeFi 權限管理與 Meme 發行等多次引發大額損失,RaaS/MaaS 服務化降低了犯罪門檻,使無技術背景攻擊者也能快速實施攻擊。與此同時,地下洗錢體系不斷成熟,東南亞詐騙集羣、隱私工具與混幣設施構成多層級資金通道。在監管方面,各國加速推進 AML/CFT 框架落地,多起跨境執法行動提升了鏈上追蹤與資產凍結效率,監管逐步由單點打擊轉向系統化圍堵,隱私協議法律邊界也在重新定義,更加區分技術屬性與犯罪用途。
查看原文
慢霧 Q4 追蹤實錄:協助被盜客戶凍結/追回百萬美元資金
自慢霧(SlowMist) 上線 MistTrack 被盜表單提交功能以來,我們每天都會收到大量受害者的求助信息,希望我們提供資金追蹤和挽救的幫助,其中不乏丟失上千萬美金的大額受害者。基於此,本系列通過對每個季度收到的被盜求助進行統計和分析,旨在以脫敏後的真實案例剖析常見或罕見的作惡手法,幫助行業參與者更好地理解和防範安全風險,保護自己的資產。
據統計,MistTrack Team 於 2025 年 Q4 季度共收到 300 份被盜表單,包括 210 份國內表單和 90 份海外表單,我們爲這些表單做了免費的評估社區服務。(Ps. 此數據僅針對來自表單提交的 Case,不包括通過郵箱或其他渠道聯繫的 Case)
據統計,MistTrack Team 於 2025 年 Q4 季度共收到 300 份被盜表單,包括 210 份國內表單和 90 份海外表單,我們爲這些表單做了免費的評估社區服務。(Ps. 此數據僅針對來自表單提交的 Case,不包括通過郵箱或其他渠道聯繫的 Case)
查看原文
聖誕劫 | Trust Wallet 擴展錢包被黑分析
背景
北京時間今天凌晨 @zachxbt 在頻道發佈消息稱 “一些 Trust Wallet 用戶報告,在過去幾個小時內,他們的錢包地址中的資金被盜走” 。隨後 Trust Wallet 官方 X 也發佈官方消息,確認了 Trust Wallet 瀏覽器擴展程序 2.68 版本存在安全風險,提醒所有在使用 2.68 版本的用戶應立即禁用該版本並升級至 2.69 版本。
技戰法
慢霧安全團隊收到情報後,第一時間對相關樣本展開分析。我們先看一下之前發佈的 2.67 與 2.68 兩個版本的核心代碼對比:
北京時間今天凌晨 @zachxbt 在頻道發佈消息稱 “一些 Trust Wallet 用戶報告,在過去幾個小時內,他們的錢包地址中的資金被盜走” 。隨後 Trust Wallet 官方 X 也發佈官方消息,確認了 Trust Wallet 瀏覽器擴展程序 2.68 版本存在安全風險,提醒所有在使用 2.68 版本的用戶應立即禁用該版本並升級至 2.69 版本。
技戰法
慢霧安全團隊收到情報後,第一時間對相關樣本展開分析。我們先看一下之前發佈的 2.67 與 2.68 兩個版本的核心代碼對比:
查看原文
慢霧:去中心化永續合約安全審計指南
作者:九九
校對:Kong
編輯:77
引言
去中心化永續合約通過“共享流動性”和“預言機定價”機制,在鏈上覆刻了高槓杆衍生品交易。不同於 AMM 現貨交易,永續合約系統涉及複雜的保證金覈算、盈虧動態調整及清算博弈。微小的邏輯偏差——無論是價格精度的舍入,還是預言機更新的延遲——都可能導致協議資不抵債或用戶資產歸零。
本手冊旨在解構此類系統的核心架構,剖析風險場景,併爲智能合約安全審計師或區塊鏈安全研究員提供實戰審計檢查清單。
校對:Kong
編輯:77
引言
去中心化永續合約通過“共享流動性”和“預言機定價”機制,在鏈上覆刻了高槓杆衍生品交易。不同於 AMM 現貨交易,永續合約系統涉及複雜的保證金覈算、盈虧動態調整及清算博弈。微小的邏輯偏差——無論是價格精度的舍入,還是預言機更新的延遲——都可能導致協議資不抵債或用戶資產歸零。
本手冊旨在解構此類系統的核心架構,剖析風險場景,併爲智能合約安全審計師或區塊鏈安全研究員提供實戰審計檢查清單。
查看原文
從入選到落地:MistTrack 在香港數碼港區塊鏈與數字資產試點計劃中的實踐與成果
近日,隨着多家香港權威媒體陸續發佈對香港數碼港「區塊鏈與數字資產試點資助計劃」首期成果的回顧與總結,慢霧(SlowMist) 自主研發的區塊鏈反洗錢追蹤系統 MistTrack,作爲入圍項目之一,在數字資產安全與合規領域的實踐成果亦獲得進一步肯定。
MistTrack 的應用進展與階段性成果
「區塊鏈與數字資產試點資助計劃」於今年 6 月正式啓動,旨在支持具典範性及高影響力的區塊鏈與數字資產應用在真實環境中測試與落地。計劃反應熱烈,共收到逾 200 份申請,最終僅有 9 個項目成功入圍,首期涉及資產規模超過 1.2 億港元。數碼港區塊鏈及數字資產總監李懿政表示,近半數入圍試點產品已成功或正準備商業化,顯示該計劃在推動創新應用落地方面成效顯著。其中,SlowMist 被明確列爲“數字資產安全與合規利器”的代表項目。
MistTrack 的應用進展與階段性成果
「區塊鏈與數字資產試點資助計劃」於今年 6 月正式啓動,旨在支持具典範性及高影響力的區塊鏈與數字資產應用在真實環境中測試與落地。計劃反應熱烈,共收到逾 200 份申請,最終僅有 9 個項目成功入圍,首期涉及資產規模超過 1.2 億港元。數碼港區塊鏈及數字資產總監李懿政表示,近半數入圍試點產品已成功或正準備商業化,顯示該計劃在推動創新應用落地方面成效顯著。其中,SlowMist 被明確列爲“數字資產安全與合規利器”的代表項目。
查看原文
Cointelegraph 報道:慢霧(SlowMist)創始人 Cos 談鏈上安全的核心——速度與協作
近日,全球知名區塊鏈媒體 Cointelegraph 發佈名爲《Meet the onchain crypto detectives fighting crime better than the cops》的專題報道,聚焦加密安全行業的鏈上偵探與研究者。慢霧科技(SlowMist) 創始人 Cos(餘弦)作爲受訪者之一,分享了團隊在重大安全事件中的處置流程、產品體系,以及對行業安全態勢的觀察。
速度是安全的第一要務
Cos 在採訪中介紹了慢霧(SlowMist) 的標準化事件響應機制。他指出,鏈上攻擊通常具有“擴散快、跨鏈廣、窗口極短”的特徵,因此響應速度幾乎決定事件最終的損失上限。“事件一發生,我們就會立即開啓作戰室,目標是儘快追蹤、控制併發出警報。”在作戰室環境中,團隊會根據攻擊路徑快速分工,例如鏈上追蹤、基礎設施分析、域名風險研判和二次攻擊監控等。隨着事件推進,可信任的項目方、交易所、合作團隊和受害者都會陸續加入,共享情報、同步行動,同時嚴格控制信息外泄風險。Cos 也坦言,在事件初期專業安全團隊必須先行一步:“執法機構的介入速度相對較慢,他們需要時間收集證據,而攻擊在幾分鐘內就可能造成巨大損失,所以我們需要速度,必須搶在更大損失發生之前行動。”這也解釋了爲何行業內的安全團隊往往承擔最早、最重的響應壓力。
速度是安全的第一要務
Cos 在採訪中介紹了慢霧(SlowMist) 的標準化事件響應機制。他指出,鏈上攻擊通常具有“擴散快、跨鏈廣、窗口極短”的特徵,因此響應速度幾乎決定事件最終的損失上限。“事件一發生,我們就會立即開啓作戰室,目標是儘快追蹤、控制併發出警報。”在作戰室環境中,團隊會根據攻擊路徑快速分工,例如鏈上追蹤、基礎設施分析、域名風險研判和二次攻擊監控等。隨着事件推進,可信任的項目方、交易所、合作團隊和受害者都會陸續加入,共享情報、同步行動,同時嚴格控制信息外泄風險。Cos 也坦言,在事件初期專業安全團隊必須先行一步:“執法機構的介入速度相對較慢,他們需要時間收集證據,而攻擊在幾分鐘內就可能造成巨大損失,所以我們需要速度,必須搶在更大損失發生之前行動。”這也解釋了爲何行業內的安全團隊往往承擔最早、最重的響應壓力。
查看原文
900 萬美元被盜:Yearn yETH 池漏洞分析
作者:九九 & Lisa
編輯:77
背景
2025 年 12 月 1 日,老牌去中心化收益聚合協議 Yearn 遭到攻擊,損失約 900 萬美元。以下是慢霧安全團隊針對此次攻擊事件的具體分析:
根本原因
在 Yearn 的 yETH Weighted Stableswap Pool 合約中,計算供應量的函數邏輯(_calc_supply) 由於採用了不安全的數學運算方式,允許計算時出現溢出和舍入的情況,導致在計算新的供應量和虛擬餘額乘積時出現嚴重偏差,最終造成攻擊者可以將流動性操控到特定的值後鑄造出超出預期數量的 LP 代幣獲利。
編輯:77
背景
2025 年 12 月 1 日,老牌去中心化收益聚合協議 Yearn 遭到攻擊,損失約 900 萬美元。以下是慢霧安全團隊針對此次攻擊事件的具體分析:
根本原因
在 Yearn 的 yETH Weighted Stableswap Pool 合約中,計算供應量的函數邏輯(_calc_supply) 由於採用了不安全的數學運算方式,允許計算時出現溢出和舍入的情況,導致在計算新的供應量和虛擬餘額乘積時出現嚴重偏差,最終造成攻擊者可以將流動性操控到特定的值後鑄造出超出預期數量的 LP 代幣獲利。
查看原文
警惕 Solana 釣魚攻擊:錢包 Owner 權限被篡改
作者:Lisa & Johan
編輯:77
背景
近期,我們接到一位用戶的求助,其在當日遭遇釣魚攻擊。該用戶發現錢包中存在異常授權記錄,試圖撤銷授權卻無法完成,並提供了受影響的錢包地址 9w2e3kpt5XUQXLdGb51nRWZoh4JFs6FL7TdEYsvKq6Wb。我們通過鏈上分析發現,該用戶的賬戶 Owner 權限已被轉移至地址 GKJBELftW5Rjg24wP88NRaKGsEBtrPLgMiv3DhbJwbzQ。此外,該用戶已有超過價值 300 萬美金的資產被盜,另外價值約 200 萬美金的資產存於 DeFi 協議中但無法轉移(目前該部分價值約 200 萬美金的資產已在相關 DeFi 的協助下援救成功)。
編輯:77
背景
近期,我們接到一位用戶的求助,其在當日遭遇釣魚攻擊。該用戶發現錢包中存在異常授權記錄,試圖撤銷授權卻無法完成,並提供了受影響的錢包地址 9w2e3kpt5XUQXLdGb51nRWZoh4JFs6FL7TdEYsvKq6Wb。我們通過鏈上分析發現,該用戶的賬戶 Owner 權限已被轉移至地址 GKJBELftW5Rjg24wP88NRaKGsEBtrPLgMiv3DhbJwbzQ。此外,該用戶已有超過價值 300 萬美金的資產被盜,另外價值約 200 萬美金的資產存於 DeFi 協議中但無法轉移(目前該部分價值約 200 萬美金的資產已在相關 DeFi 的協助下援救成功)。
查看原文
美英澳聯合打擊俄羅斯網絡犯罪基礎設施 Media Land 與 Aeza Group
作者:77
編輯:77
2025 年 11 月 19 日,美國財政部外國資產控制辦公室(OFAC)、澳大利亞外交貿易部(DFAT) 及英國外交、聯邦及發展事務部(FCDO) 聯合宣佈,對俄羅斯多家防彈主機(Bulletproof Hosting, BPH) 服務商及相關個人實施新一輪制裁。原因是其支持包括勒索軟件在內的網絡犯罪活動。主要制裁對象包括 Media Land 的主要負責人及其關聯實體,以及 Aeza Group 的關鍵成員和相關幌子公司。
編輯:77
2025 年 11 月 19 日,美國財政部外國資產控制辦公室(OFAC)、澳大利亞外交貿易部(DFAT) 及英國外交、聯邦及發展事務部(FCDO) 聯合宣佈,對俄羅斯多家防彈主機(Bulletproof Hosting, BPH) 服務商及相關個人實施新一輪制裁。原因是其支持包括勒索軟件在內的網絡犯罪活動。主要制裁對象包括 Media Land 的主要負責人及其關聯實體,以及 Aeza Group 的關鍵成員和相關幌子公司。
查看原文
威脅情報 |NPM 投毒分析 — Shai-Hulud 攻擊重現
作者:Joker & Ccj
編輯:77
背景
近日,NPM 社區再次爆發大規模 NPM 包投毒事件,本次事件與 2025 年 9 月的 Shai-Hulud 攻擊事件高度相關,本次的 NPM 包中的惡意代碼竊取開發者密鑰和 API 密鑰以及環境變量等敏感信息,利用密鑰創建公開倉庫並上傳這些竊取的敏感信息。
慢霧(SlowMist) 自主研發的 Web3 威脅情報與動態安全監控工具 MistEye 第一時間響應,迅速推送相關威脅情報,爲客戶提供關鍵的安全保障。
編輯:77
背景
近日,NPM 社區再次爆發大規模 NPM 包投毒事件,本次事件與 2025 年 9 月的 Shai-Hulud 攻擊事件高度相關,本次的 NPM 包中的惡意代碼竊取開發者密鑰和 API 密鑰以及環境變量等敏感信息,利用密鑰創建公開倉庫並上傳這些竊取的敏感信息。
慢霧(SlowMist) 自主研發的 Web3 威脅情報與動態安全監控工具 MistEye 第一時間響應,迅速推送相關威脅情報,爲客戶提供關鍵的安全保障。
查看原文
報告解讀|MSMT 發佈《DPRK 通過網絡和信息技術工作者活動違反和規避聯合國制裁》
近期,多邊制裁監測小組(The Multilateral Sanctions Monitoring Team,以下簡稱“MSMT”) 發佈了一份名爲《DPRK 通過網絡和信息技術工作者活動違反和規避聯合國制裁》的報告。該報告系統梳理了朝鮮民主主義人民共和國(DPRK) 利用網絡力量、信息技術工作者及加密貨幣活動,規避聯合國制裁、竊取敏感技術並籌集資金的全貌。本文將對報告核心內容進行梳理,幫助讀者快速掌握 DPRK 網絡威脅的發展趨勢和手法變化,從而提升對複雜網絡安全威脅的認知和防範能力。
查看原文
MistTrack 榮獲 HKICT Awards 2025 FinTech 金獎,推動鏈上合規新標杆
11 月 21 日,由香港特別行政區政府數字政策辦公室主辦的 2025 年香港資訊及通訊科技獎(HKICT Awards 2025) 頒獎典禮在香港會議展覽中心隆重舉行,慢霧(SlowMist) 旗下區塊鏈反洗錢追蹤系統 MistTrack 榮獲金融科技獎(監管科技:監管及風險管理)金獎。
慢霧(SlowMist) 合夥人 & CPO——Keywolf 受邀出席典禮並發表獲獎感言,與來自政府、監管機構、金融行業的嘉賓共同見證了這一時刻。
慢霧(SlowMist) 合夥人 & CPO——Keywolf 受邀出席典禮並發表獲獎感言,與來自政府、監管機構、金融行業的嘉賓共同見證了這一時刻。
查看原文
三方並肩:NOFX AI 交易系統漏洞守衛戰
背景
隨着 AI 大模型實盤交易競賽的升溫,越來越多的加密社區與開發者開始嘗試以 AI 驅動的自動化交易,諸多開源方案也被快速投入使用。然而,這些項目中不乏安全隱患。
NOFX AI 是一款基於 DeepSeek/Qwen AI 的開源加密貨幣期貨自動交易系統,支持 Binance、Hyperliquid 與 Aster DEX 等交易所。慢霧安全團隊接到 @Endlessss20 提供的最初情報,懷疑該系統可能會導致交易所 API Key 等泄漏,遂對此展開安全分析。
隨着 AI 大模型實盤交易競賽的升溫,越來越多的加密社區與開發者開始嘗試以 AI 驅動的自動化交易,諸多開源方案也被快速投入使用。然而,這些項目中不乏安全隱患。
NOFX AI 是一款基於 DeepSeek/Qwen AI 的開源加密貨幣期貨自動交易系統,支持 Binance、Hyperliquid 與 Aster DEX 等交易所。慢霧安全團隊接到 @Endlessss20 提供的最初情報,懷疑該系統可能會導致交易所 API Key 等泄漏,遂對此展開安全分析。
查看原文
美國打擊朝鮮加密資產洗錢網絡:多名銀行職員及多個金融機構受影響
作者:77 & Lisa
編輯:77
2025 年 11 月 4 日,美國財政部外國資產控制辦公室(OFAC) 宣佈,對朝鮮多名銀行職員及金融機構實施新一輪制裁,此次行動凍結了 8 名個人和 2 家實體在美國境內或由美國人控制的所有資產。這些個人和實體被指控通過網絡犯罪、信息技術(IT) 勞工欺詐等手段爲朝鮮政權籌集資金,用以支持其核武與導彈計劃。
制裁詳情
根據美國財政部的通報,長期以來朝鮮政府依靠包括網絡犯罪在內的各種非法活動爲其大規模殺傷性武器和彈道導彈項目籌集資金,並指示其黑客通過網絡間諜、破壞性攻擊和金融盜竊等手段牟利。據統計,過去三年與朝鮮有關的網絡犯罪分子已竊取超過 30 億美元資產,主要以加密貨幣形式轉移。同時,大量朝鮮信息技術(IT) 從業人員通過在自由職業網站上註冊賬戶並申請工作合同時使用虛假或盜用的身份信息來隱瞞自己的國籍和身份,從事各種 IT 開發工作,每年賺取數億美元。在某些情況下,他們還會與其他外國程序員合作完成項目並分配收益。
編輯:77
2025 年 11 月 4 日,美國財政部外國資產控制辦公室(OFAC) 宣佈,對朝鮮多名銀行職員及金融機構實施新一輪制裁,此次行動凍結了 8 名個人和 2 家實體在美國境內或由美國人控制的所有資產。這些個人和實體被指控通過網絡犯罪、信息技術(IT) 勞工欺詐等手段爲朝鮮政權籌集資金,用以支持其核武與導彈計劃。
制裁詳情
根據美國財政部的通報,長期以來朝鮮政府依靠包括網絡犯罪在內的各種非法活動爲其大規模殺傷性武器和彈道導彈項目籌集資金,並指示其黑客通過網絡間諜、破壞性攻擊和金融盜竊等手段牟利。據統計,過去三年與朝鮮有關的網絡犯罪分子已竊取超過 30 億美元資產,主要以加密貨幣形式轉移。同時,大量朝鮮信息技術(IT) 從業人員通過在自由職業網站上註冊賬戶並申請工作合同時使用虛假或盜用的身份信息來隱瞞自己的國籍和身份,從事各種 IT 開發工作,每年賺取數億美元。在某些情況下,他們還會與其他外國程序員合作完成項目並分配收益。
查看原文
活動回顧|慢霧(SlowMist)亮相第十屆香港金融科技周 2025
11 月 3 日,由香港財經事務及庫務局、香港商務及經濟發展局和香港投資推廣署聯合主辦,並由香港金融管理局、香港證券及期貨事務監察委員會及香港保險業監管局合辦的“第十屆香港金融科技周「Hong Kong Fintech Week 2025」在香港會議展覽中心隆重揭幕。
作爲全球領先的金融科技盛會之一,本屆金融科技周以“策動金融科技新時代”爲主題,吸引了來自超過 100 個經濟體的逾 37,000 名與會者,約 800 名演講嘉賓、700 多家參展機構及逾 30 個國際及中國內地代表團參與,再次印證了香港作爲全球金融科技樞紐的強大吸引力與創新活力。
作爲全球領先的金融科技盛會之一,本屆金融科技周以“策動金融科技新時代”爲主題,吸引了來自超過 100 個經濟體的逾 37,000 名與會者,約 800 名演講嘉賓、700 多家參展機構及逾 30 個國際及中國內地代表團參與,再次印證了香港作爲全球金融科技樞紐的強大吸引力與創新活力。
查看原文
積羽沉舟 —— Balancer 超1億美元被黑分析
作者:Kong & Lisa
編輯:77
背景
2025 年 11 月 3 日,老牌去中心化自動做市商協議 Balancer v2 遭到攻擊,包括其 fork 協議在內的多個項目在多條鏈上損失約 1.2 億美元,這使得本就不太景氣的 DeFi 生態雪上加霜。以下是慢霧安全團隊針對此次攻擊事件的具體分析:
根本原因
Balancer v2 的 Composable Stable Pool 實現中(基於 Curve StableSwap 的 Stable Math),對縮放因子(scalingFactors) 的整數定點運算存在精度丟失問題,導致在代幣兌換中產生微小、但可複利式積累的價差/誤差。攻擊者利用低流動性下小額兌換來放大此誤差以顯著的累計利潤。
編輯:77
背景
2025 年 11 月 3 日,老牌去中心化自動做市商協議 Balancer v2 遭到攻擊,包括其 fork 協議在內的多個項目在多條鏈上損失約 1.2 億美元,這使得本就不太景氣的 DeFi 生態雪上加霜。以下是慢霧安全團隊針對此次攻擊事件的具體分析:
根本原因
Balancer v2 的 Composable Stable Pool 實現中(基於 Curve StableSwap 的 Stable Math),對縮放因子(scalingFactors) 的整數定點運算存在精度丟失問題,導致在代幣兌換中產生微小、但可複利式積累的價差/誤差。攻擊者利用低流動性下小額兌換來放大此誤差以顯著的累計利潤。
查看原文
相約香港|慢霧將亮相香港金融科技周及多場 Web3 行業盛會
2025 年 11 月,香港將成爲全球金融科技與 Web3 的焦點。作爲專注於區塊鏈生態安全的威脅情報公司,慢霧(SlowMist) 將亮相香港金融科技周及多場 Web3 行業活動,圍繞區塊鏈安全、合規風控與反洗錢(AML) 等關鍵議題,分享最新研究成果與實踐經驗。
香港金融科技周 2025 x StartmeupHK 創業節
香港金融科技周 2025 x StartmeupHK 創業節將於 11 月 3 日至 11 月 7 日在香港會議展覽中心隆重舉行。作爲香港首屈一指的創科盛事,香港金融科技周 2025 x StartmeupHK 創業節由香港財經事務及庫務局、香港商務及經濟發展局和香港投資推廣署聯合主辦,並由香港金融管理局、香港證券及期貨事務監察委員會及香港保險業監管局合辦。活動以“策動金融科技新時代”爲主題,預計將吸引逾 100 個經濟體的 37,000 名與會者、800 位演講嘉賓及超過 700 家參展機構,共同探討金融科技的未來格局與發展機遇。
香港金融科技周 2025 x StartmeupHK 創業節
香港金融科技周 2025 x StartmeupHK 創業節將於 11 月 3 日至 11 月 7 日在香港會議展覽中心隆重舉行。作爲香港首屈一指的創科盛事,香港金融科技周 2025 x StartmeupHK 創業節由香港財經事務及庫務局、香港商務及經濟發展局和香港投資推廣署聯合主辦,並由香港金融管理局、香港證券及期貨事務監察委員會及香港保險業監管局合辦。活動以“策動金融科技新時代”爲主題,預計將吸引逾 100 個經濟體的 37,000 名與會者、800 位演講嘉賓及超過 700 家參展機構,共同探討金融科技的未來格局與發展機遇。
查看原文
Move 安全嗎?Typus 權限驗證漏洞
作者:Johan & Lisa
編輯:77
10 月 16 日,Sui 鏈上的 DeFi 項目 Typus Finance 遭遇黑客攻擊,官方已發佈攻擊事件報告並在報告中致謝慢霧安全團隊協助調查和追蹤:
本文將深入分析本次攻擊的原因,並探討 Sui Move 智能合約的權限控制的特點。
攻擊步驟詳解
我們解析第一筆攻擊交易:
https://suivision.xyz/txblock/6KJvWtmrZDi5MxUPkJfDNZTLf2DFGKhQA2WuVAdSRUgH
攻擊步驟如下:
1. 篡改價格
相關代碼:typus_oracle/sources/oracle.move public fun update_v2( oracle: &mut Oracle, update_authority: & UpdateAuthority, price: u64, twap_price: u64, clock: &Clock, ctx: &mut TxContext ) { // check authority vector::contains(&update_authority.authority, &tx_context::sender(ctx)); version_check(oracle);
編輯:77
10 月 16 日,Sui 鏈上的 DeFi 項目 Typus Finance 遭遇黑客攻擊,官方已發佈攻擊事件報告並在報告中致謝慢霧安全團隊協助調查和追蹤:
本文將深入分析本次攻擊的原因,並探討 Sui Move 智能合約的權限控制的特點。
攻擊步驟詳解
我們解析第一筆攻擊交易:
https://suivision.xyz/txblock/6KJvWtmrZDi5MxUPkJfDNZTLf2DFGKhQA2WuVAdSRUgH
攻擊步驟如下:
1. 篡改價格
相關代碼:typus_oracle/sources/oracle.move public fun update_v2( oracle: &mut Oracle, update_authority: & UpdateAuthority, price: u64, twap_price: u64, clock: &Clock, ctx: &mut TxContext ) { // check authority vector::contains(&update_authority.authority, &tx_context::sender(ctx)); version_check(oracle);
登入探索更多內容