慢雾 SlowMist

近日，隨着多家香港權威媒體陸續發佈對香港數碼港「區塊鏈與數字資產試點資助計劃」首期成果的回顧與總結，慢霧(SlowMist) 自主研發的區塊鏈反洗錢追蹤系統 MistTrack，作爲入圍項目之一，在數字資產安全與合規領域的實踐成果亦獲得進一步肯定。

MistTrack 的應用進展與階段性成果
「區塊鏈與數字資產試點資助計劃」於今年 6 月正式啓動，旨在支持具典範性及高影響力的區塊鏈與數字資產應用在真實環境中測試與落地。計劃反應熱烈，共收到逾 200 份申請，最終僅有 9 個項目成功入圍，首期涉及資產規模超過 1.2 億港元。數碼港區塊鏈及數字資產總監李懿政表示，近半數入圍試點產品已成功或正準備商業化，顯示該計劃在推動創新應用落地方面成效顯著。其中，SlowMist 被明確列爲“數字資產安全與合規利器”的代表項目。

近日，全球知名區塊鏈媒體 Cointelegraph 發佈名爲《Meet the onchain crypto detectives fighting crime better than the cops》的專題報道，聚焦加密安全行業的鏈上偵探與研究者。慢霧科技(SlowMist) 創始人 Cos（餘弦）作爲受訪者之一，分享了團隊在重大安全事件中的處置流程、產品體系，以及對行業安全態勢的觀察。

速度是安全的第一要務
Cos 在採訪中介紹了慢霧(SlowMist) 的標準化事件響應機制。他指出，鏈上攻擊通常具有“擴散快、跨鏈廣、窗口極短”的特徵，因此響應速度幾乎決定事件最終的損失上限。“事件一發生，我們就會立即開啓作戰室，目標是儘快追蹤、控制併發出警報。”在作戰室環境中，團隊會根據攻擊路徑快速分工，例如鏈上追蹤、基礎設施分析、域名風險研判和二次攻擊監控等。隨着事件推進，可信任的項目方、交易所、合作團隊和受害者都會陸續加入，共享情報、同步行動，同時嚴格控制信息外泄風險。Cos 也坦言，在事件初期專業安全團隊必須先行一步：“執法機構的介入速度相對較慢，他們需要時間收集證據，而攻擊在幾分鐘內就可能造成巨大損失，所以我們需要速度，必須搶在更大損失發生之前行動。”這也解釋了爲何行業內的安全團隊往往承擔最早、最重的響應壓力。

作者：九九 & Lisa
編輯：77
背景

2025 年 12 月 1 日，老牌去中心化收益聚合協議 Yearn 遭到攻擊，損失約 900 萬美元。以下是慢霧安全團隊針對此次攻擊事件的具體分析：

根本原因
在 Yearn 的 yETH Weighted Stableswap Pool 合約中，計算供應量的函數邏輯(_calc_supply) 由於採用了不安全的數學運算方式，允許計算時出現溢出和舍入的情況，導致在計算新的供應量和虛擬餘額乘積時出現嚴重偏差，最終造成攻擊者可以將流動性操控到特定的值後鑄造出超出預期數量的 LP 代幣獲利。

作者：Lisa & Johan
編輯：77
背景
近期，我們接到一位用戶的求助，其在當日遭遇釣魚攻擊。該用戶發現錢包中存在異常授權記錄，試圖撤銷授權卻無法完成，並提供了受影響的錢包地址 9w2e3kpt5XUQXLdGb51nRWZoh4JFs6FL7TdEYsvKq6Wb。我們通過鏈上分析發現，該用戶的賬戶 Owner 權限已被轉移至地址 GKJBELftW5Rjg24wP88NRaKGsEBtrPLgMiv3DhbJwbzQ。此外，該用戶已有超過價值 300 萬美金的資產被盜，另外價值約 200 萬美金的資產存於 DeFi 協議中但無法轉移（目前該部分價值約 200 萬美金的資產已在相關 DeFi 的協助下援救成功）。

作者：77
編輯：77
2025 年 11 月 19 日，美國財政部外國資產控制辦公室(OFAC)、澳大利亞外交貿易部(DFAT) 及英國外交、聯邦及發展事務部(FCDO) 聯合宣佈，對俄羅斯多家防彈主機(Bulletproof Hosting, BPH) 服務商及相關個人實施新一輪制裁。原因是其支持包括勒索軟件在內的網絡犯罪活動。主要制裁對象包括 Media Land 的主要負責人及其關聯實體，以及 Aeza Group 的關鍵成員和相關幌子公司。

作者：Joker & Ccj
編輯：77
背景
近日，NPM 社區再次爆發大規模 NPM 包投毒事件，本次事件與 2025 年 9 月的 Shai-Hulud 攻擊事件高度相關，本次的 NPM 包中的惡意代碼竊取開發者密鑰和 API 密鑰以及環境變量等敏感信息，利用密鑰創建公開倉庫並上傳這些竊取的敏感信息。
慢霧(SlowMist) 自主研發的 Web3 威脅情報與動態安全監控工具 MistEye 第一時間響應，迅速推送相關威脅情報，爲客戶提供關鍵的安全保障。

近期，多邊制裁監測小組(The Multilateral Sanctions Monitoring Team，以下簡稱“MSMT”) 發佈了一份名爲《DPRK 通過網絡和信息技術工作者活動違反和規避聯合國制裁》的報告。該報告系統梳理了朝鮮民主主義人民共和國(DPRK) 利用網絡力量、信息技術工作者及加密貨幣活動，規避聯合國制裁、竊取敏感技術並籌集資金的全貌。本文將對報告核心內容進行梳理，幫助讀者快速掌握 DPRK 網絡威脅的發展趨勢和手法變化，從而提升對複雜網絡安全威脅的認知和防範能力。

11 月 21 日，由香港特別行政區政府數字政策辦公室主辦的 2025 年香港資訊及通訊科技獎(HKICT Awards 2025) 頒獎典禮在香港會議展覽中心隆重舉行，慢霧(SlowMist) 旗下區塊鏈反洗錢追蹤系統 MistTrack 榮獲金融科技獎（監管科技：監管及風險管理）金獎。

慢霧(SlowMist) 合夥人 & CPO——Keywolf 受邀出席典禮並發表獲獎感言，與來自政府、監管機構、金融行業的嘉賓共同見證了這一時刻。

背景
隨着 AI 大模型實盤交易競賽的升溫，越來越多的加密社區與開發者開始嘗試以 AI 驅動的自動化交易，諸多開源方案也被快速投入使用。然而，這些項目中不乏安全隱患。

NOFX AI 是一款基於 DeepSeek/Qwen AI 的開源加密貨幣期貨自動交易系統，支持 Binance、Hyperliquid 與 Aster DEX 等交易所。慢霧安全團隊接到 @Endlessss20 提供的最初情報，懷疑該系統可能會導致交易所 API Key 等泄漏，遂對此展開安全分析。

作者：77 & Lisa
編輯：77
2025 年 11 月 4 日，美國財政部外國資產控制辦公室(OFAC) 宣佈，對朝鮮多名銀行職員及金融機構實施新一輪制裁，此次行動凍結了 8 名個人和 2 家實體在美國境內或由美國人控制的所有資產。這些個人和實體被指控通過網絡犯罪、信息技術(IT) 勞工欺詐等手段爲朝鮮政權籌集資金，用以支持其核武與導彈計劃。

制裁詳情
根據美國財政部的通報，長期以來朝鮮政府依靠包括網絡犯罪在內的各種非法活動爲其大規模殺傷性武器和彈道導彈項目籌集資金，並指示其黑客通過網絡間諜、破壞性攻擊和金融盜竊等手段牟利。據統計，過去三年與朝鮮有關的網絡犯罪分子已竊取超過 30 億美元資產，主要以加密貨幣形式轉移。同時，大量朝鮮信息技術(IT) 從業人員通過在自由職業網站上註冊賬戶並申請工作合同時使用虛假或盜用的身份信息來隱瞞自己的國籍和身份，從事各種 IT 開發工作，每年賺取數億美元。在某些情況下，他們還會與其他外國程序員合作完成項目並分配收益。

11 月 3 日，由香港財經事務及庫務局、香港商務及經濟發展局和香港投資推廣署聯合主辦，並由香港金融管理局、香港證券及期貨事務監察委員會及香港保險業監管局合辦的“第十屆香港金融科技周「Hong Kong Fintech Week 2025」在香港會議展覽中心隆重揭幕。

作爲全球領先的金融科技盛會之一，本屆金融科技周以“策動金融科技新時代”爲主題，吸引了來自超過 100 個經濟體的逾 37,000 名與會者，約 800 名演講嘉賓、700 多家參展機構及逾 30 個國際及中國內地代表團參與，再次印證了香港作爲全球金融科技樞紐的強大吸引力與創新活力。

作者：Kong & Lisa
編輯：77
背景
2025 年 11 月 3 日，老牌去中心化自動做市商協議 Balancer v2 遭到攻擊，包括其 fork 協議在內的多個項目在多條鏈上損失約 1.2 億美元，這使得本就不太景氣的 DeFi 生態雪上加霜。以下是慢霧安全團隊針對此次攻擊事件的具體分析：
根本原因
Balancer v2 的 Composable Stable Pool 實現中（基於 Curve StableSwap 的 Stable Math），對縮放因子(scalingFactors) 的整數定點運算存在精度丟失問題，導致在代幣兌換中產生微小、但可複利式積累的價差/誤差。攻擊者利用低流動性下小額兌換來放大此誤差以顯著的累計利潤。

2025 年 11 月，香港將成爲全球金融科技與 Web3 的焦點。作爲專注於區塊鏈生態安全的威脅情報公司，慢霧(SlowMist) 將亮相香港金融科技周及多場 Web3 行業活動，圍繞區塊鏈安全、合規風控與反洗錢(AML) 等關鍵議題，分享最新研究成果與實踐經驗。
香港金融科技周 2025 x StartmeupHK 創業節
香港金融科技周 2025 x StartmeupHK 創業節將於 11 月 3 日至 11 月 7 日在香港會議展覽中心隆重舉行。作爲香港首屈一指的創科盛事，香港金融科技周 2025 x StartmeupHK 創業節由香港財經事務及庫務局、香港商務及經濟發展局和香港投資推廣署聯合主辦，並由香港金融管理局、香港證券及期貨事務監察委員會及香港保險業監管局合辦。活動以“策動金融科技新時代”爲主題，預計將吸引逾 100 個經濟體的 37,000 名與會者、800 位演講嘉賓及超過 700 家參展機構，共同探討金融科技的未來格局與發展機遇。

作者：Johan & Lisa
編輯：77
10 月 16 日，Sui 鏈上的 DeFi 項目 Typus Finance 遭遇黑客攻擊，官方已發佈攻擊事件報告並在報告中致謝慢霧安全團隊協助調查和追蹤：

本文將深入分析本次攻擊的原因，並探討 Sui Move 智能合約的權限控制的特點。
攻擊步驟詳解
我們解析第一筆攻擊交易：
https://suivision.xyz/txblock/6KJvWtmrZDi5MxUPkJfDNZTLf2DFGKhQA2WuVAdSRUgH
攻擊步驟如下：
1. 篡改價格
相關代碼：typus_oracle/sources/oracle.move   public fun update_v2(        oracle: &mut Oracle,        update_authority: & UpdateAuthority,        price: u64,        twap_price: u64,        clock: &Clock,        ctx: &mut TxContext    ) {        // check authority        vector::contains(&update_authority.authority, &tx_context::sender(ctx));        version_check(oracle);

背景概述

密碼學是 Web3 安全的基石，從私鑰的生成到交易的簽名，每一個環節都依賴於密碼學組件的正確與安全實現。然而，在 Web3 項目的實際開發中，研發團隊往往聚焦於業務邏輯與性能優化，對底層密碼學實現的細微之處缺乏足夠的警惕。使用不安全的隨機數生成器、錯誤地調用密碼學庫、或對算法特性的理解偏差，都可能引入致命漏洞，導致私鑰泄露、簽名僞造、進而造成無法挽回的資產損失。

背景
2025 年 10 月 14 日，美國財政部外國資產控制辦公室(OFAC)、金融犯罪執法網絡(FinCEN) 與英國外交&聯邦及發展事務部(FCDO) 對活躍於東南亞的網絡犯罪集團採取史上最大規模的聯合制裁行動。此次行動不僅制裁了 146 個與“太子集團跨國犯罪組織(Prince Group TCO)”有關的個人和實體，還宣佈扣押與太子集團相關聯的 127,271 枚比特幣（約 150 億美元）。與此同時，FinCEN 將總部位於柬埔寨的 Huione Group 認定爲主要洗錢機構，將其與美國金融體系完全隔離。

10 月 10 日，香港警務處網絡安全及科技罪案調查科(Cyber Security and Technology Crime Bureau, CSTCB) 在港舉辦 Web3 情報與執法高峯論壇(Web3 Intelligence & Enforcement Summit)，並正式宣佈成立虛擬資產情報工作組(Virtual Asset Intelligence Team, VAIT)。本次論壇匯聚逾 250 位來自保安局、財庫局、金管局、證監會、海關、持牌虛擬資產服務商(VASPs)、金融機構及學術界代表。活動聚焦跨部門協作、反洗錢監管、Web3 網絡安全與執法策略，共同探討如何構建安全、透明、健康的虛擬資產生態系統。

自慢霧(SlowMist) 上線 MistTrack 被盜表單提交功能以來，我們每天都會收到大量受害者的求助信息，希望我們提供資金追蹤和挽救的幫助，其中不乏丟失上千萬美金的大額受害者。基於此，本系列通過對每個季度收到的被盜求助進行統計和分析，旨在以脫敏後的真實案例剖析常見或罕見的作惡手法，幫助行業參與者更好地理解和防範安全風險，保護自己的資產。

據統計，MistTrack Team 於 2025 年 Q3 季度共收到 317 份被盜表單，包括 245 份國內表單和 72 份海外表單，我們爲這些表單做了免費的評估社區服務。（Ps. 此數據僅針對來自表單提交的 Case，不包括通過郵箱或其他渠道聯繫的 Case）

背景
在虛擬資產基金的運作過程中，投資人資金的來源與流向直接決定了基金的合規風險水平。隨着全球監管趨嚴，虛擬資產基金服務商不僅要在 KYC（瞭解用戶）層面做好合規，還必須將審查延伸至 KYW（瞭解錢包）和 SOT（代幣來源審查）。
然而，虛擬資產基金服務商普遍面臨投資人資金來源複雜；公鏈數據龐大，單靠內部技術團隊人工溯源，耗時長、易出錯；缺少高效的工具將鏈上調查結果與金融機構要求的合規標準對接的情況。

我們很高興地宣佈，慢霧(SlowMist) 將於 2025 年 9 月 22 日出席全球區塊鏈論壇 — Global Blockchain Forum，在韓國國會大廈與來自全球的行業夥伴共聚一堂。

作爲韓國區塊鏈周 2025 (KBW 2025) 期間的重要活動，全球區塊鏈論壇 — Global Blockchain Forum 由韓國國會議員閔炳德(Min Byoung-Dug) 與韓國區塊鏈產業振興協會(KBIPA) 聯合主辦，匯聚了來自全球加密行業的政策制定者、頂尖高管、先鋒 Web3 創新者以及學術專家，旨在推動跨境合作，探討區塊鏈與去中心化技術的前沿趨勢與發展路徑。