慢雾 SlowMist

作者：Liz & Lisa
編輯：Sherry
背景
在加密資產領域，社會工程攻擊正成爲用戶資金安全的重大威脅。自 2025 年以來，大量針對 Coinbase 用戶的社交工程詐騙事件不斷浮出水面，引發了社區的廣泛關注。從社區的討論不難看出，此類事件並非孤立個案，而是一種具有持續性和組織化特徵的騙局類型。
5 月 15 日，Coinbase 發佈公告，證實了此前關於 Coinbase 裏有“內鬼”的種種猜測。據悉，美國司法部(DOJ) 已啓動針對該起數據泄露事件的調查。

概覽
2025 年 4 月，Web3 安全事件總損失約 2,640 萬美元。其中，據慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io) 統計，共發生 18 起被黑事件，導致損失約 2,111 萬美元，有 1,789 萬美元得到凍結或返還，事件原因涉及合約漏洞、社會工程、內部作惡和私鑰泄露等。此外，據 Web3 反詐騙平臺 Scam Sniffer 統計，本月有 7,565 名釣魚事件受害者，損失規模達 529 萬美元。
(https://dune.com/scam-sniffer/april-2025-scam-sniffer-scam-report)

近期，模型上下文協議(MCP) 因 Anthropic 等機構的推動，以及 OpenAI、微軟、谷歌等巨頭的快速採用而迅速成爲 AI 生態的“新基建”。其通過標準化接口實現 AI 與本地工具、數據庫、API 的無縫連接，極大地擴展了智能體的執行能力，被業界視爲“AI 的 USB-C 接口”。在 Web3 行業中，也開始陸續出現 MCP 相關的應用。然而該協議正處於“混沌”階段，面臨多重安全風險和新的攻擊面，可以參考慢霧(SlowMist) 近期發佈的 MCP 的攻擊面和安全檢查清單。

現在 MCP (Model Context Protocol) 體系還處在比較早期的發展階段，整體環境比較混沌，各種潛在的攻擊方式層出不窮，以目前的協議和工具的設計是難以防禦的。爲了幫助社區更好地認識和提升 MCP 的安全性，慢霧(SlowMist) 特別開源了 MasterMCP 工具，希望通過實際攻擊演練，幫助大家及時發現產品設計中的安全隱患，從而一步步加固自己的 MCP 項目。
同時，可以搭配上一期的 MCP 安全的檢查清單來更好理解多種攻擊的底層視角。這一次，我們帶大家一起動手實操，演示在 MCP 體系下常見的攻擊方式，比如信息投毒、隱匿惡意指令等真實案例。所有演示中使用的腳本也會一併開源到 GitHub（鏈接見文末），大家可以在安全的環境中完整復現整個流程，甚至基於這些腳本開發出自己的攻擊測試插件。

近日，慢霧(SlowMist)、Amber Group 及 RigSec 受邀爲香港警務處網絡安全及科技罪案調查科(CSTCB) 開展了一場圍繞智能合約分析與加密貨幣追蹤的專題培訓。
這場培訓不僅體現了香港警隊在面對新興技術時的開放心態與前瞻佈局，更展現出其在打擊虛擬資產相關犯罪、維護公衆合法權益方面所做出的堅實努力與主動作爲。香港警隊正通過持續深化專業技能、積極引入外部實戰經驗等方式，以實打實的行動，爲構建一個更安全的虛擬資產環境奠定基礎。

作者：Lisa
編輯：Sherry
背景
鏈上留言，作爲區塊鏈世界中的特殊溝通方式，近年來在各類安全事件中頻繁被使用，例如近期慢霧(SlowMist) 協助 KiloEx 通過鏈上留言方式與攻擊者展開多輪溝通，最終成功促成了全部被盜資金 844 萬美金的歸還。在匿名環境下，鏈上留言可作爲建立初步對話的有效工具，爲後續資金追回打下基礎。
在我們此前發佈的(被盜急救指南之鏈上留言)文章中，詳細介紹了以太坊上的留言方式。比特幣網絡同樣支持鏈上留言，但兩者的實現方式略有不同。比特幣鏈上留言的核心工具是 OP_RETURN 指令。它允許用戶在交易中嵌入 80 字節的自定義數據，這部分數據不會被節點用於交易驗證，也不會影響 UTXO 的狀態，純粹用於記錄信息，會被完整記錄在區塊鏈中。

2025 年 4 月 15 日，去中心化永續合約交易平臺 KiloEx 遭遇黑客攻擊，造成約 844 萬美元的損失。事件發生後，慢霧(SlowMist) 第一時間介入分析，併發布安全提醒。幸運的是，在項目方的積極應對和慢霧(SlowMist) 等多方協作下，歷時 3.5 天，最終成功追回了全部被盜資產，事件得以圓滿解決。
(https://x.com/SlowMist_Team/status/1911991384254402737)
事件回顧
漏洞原因分析
據 KiloEx 的分析報告，此次攻擊源於合約權限驗證機制的缺陷。TrustedForwarder 合約繼承了 OpenZeppelin 的 MinimalForwarderUpgradeable 合約，其中 execute 方法沒有在 TrustedForwarder 進行 override，是一個不需要權限就可以訪問的方法。

作者：Liz & Reborn
編輯：Sherry
背景
在上一期 Web3 安全入門避坑指南中，我們分析了貔貅盤騙局，本期我們將聚焦剪貼板安全。
在許多加密資產被盜事件中，受害者最困惑的一點常常是：“我根本沒聯網傳輸過私鑰，怎麼就被盜了？”事實上，私鑰 / 助記詞的泄露並不一定通過雲端或網絡上傳，它也可能在你看似“本地、安全”的操作中發生。比如，你是否曾通過複製粘貼填寫過私鑰 / 助記詞？是否曾保存在備忘錄或截圖裏？這些常見操作，也是黑客盯上的突破口。

作者：Liz & Reborn
編輯：Sherry
背景
在上一期 Web3 安全入門避坑指南中，我們分析了貔貅盤騙局，本期我們將聚焦剪貼板安全。
在許多加密資產被盜事件中，受害者最困惑的一點常常是：“我根本沒聯網傳輸過私鑰，怎麼就被盜了？”事實上，私鑰 / 助記詞的泄露並不一定通過雲端或網絡上傳，它也可能在你看似“本地、安全”的操作中發生。比如，你是否曾通過複製粘貼填寫過私鑰 / 助記詞？是否曾保存在備忘錄或截圖裏？這些常見操作，也是黑客盯上的突破口。

背景
本安全檢查清單由 @SlowMist_Team 編寫並維護。
慢霧科技作爲全球領先的區塊鏈生態威脅情報公司，旨在幫助區塊鏈生態與 AI 生態相融合的過程中擁有更加深度的安全防護能力及保護用戶擁有更高的隱私性。
感謝 FENZ.AI 傾力相助。
FENZ.AI 以未來科技重塑 AI 安全審計。從 MCP 攻擊檢測到 AI 忠誠度評估， Fenz 正在構建 AI 時代的基礎設施——“超級智能，始於超強安全”。
概要
隨着大模型的迅猛發展，各種新的 AI 工具也在不斷涌現，當下代表

2025 年香港 Web3 嘉年華如期舉行，匯聚了來自全球的開發者、投資人、監管機構及技術先鋒，共同探討區塊鏈、DeFi、加密合規、AI 與 Web3 融合等最前沿議題。本屆嘉年華以四季“春、夏、秋、冬”爲靈感，每個舞臺都巧妙融入中華傳統文化意象，象徵着區塊鏈產業的韌性與週期性，也展現了 Web3 精神與東方哲學的深層聯結，體現了科技與人文的融合之美。
Hacking Time 回顧
4 月 8 日下午，由慢霧(SlowMist) 主辦的「Hacking Time: Web3 Security and Compliance」安全主題論壇在會場三舉行，吸引了大量關注 Web3 安全與合規議題的觀衆到場參與。

隨着 2025 香港 Web3 嘉年華(Web3 Festival 2025) 的臨近，全球區塊鏈行業的目光再次聚焦於這座國際化都市。作爲專注於區塊鏈安全的頭部公司，慢霧(SlowMist) 將在 4 月 2 日至 4 月 9 日參與、舉辦一系列活動，並將在多場精彩活動中分享我們的安全研究，期待與全球 Web3 從業者深入交流，共同推動行業安全建設。
香港 Web3 嘉年華
2025 香港 Web3 嘉年華 (https://www.web3festival.org/hongkong2025/) 將於 4 月 6 日至 9 日盛大舉行，本屆活動由萬向區塊鏈實驗室與 HashKey Group 聯合主辦，W3ME 負責承辦。爲期四天的盛會預計將吸引全球區塊鏈行業領袖、技術專家及監管機構代表齊聚香江，共話 Web3 生態發展新趨勢。

作者：23pds & Thinking
編輯：Sherry
背景
昨天，當我還在整理 APT 攻擊相關的素材時，山哥(@im23pds) 突然激動地來到我的工位旁邊：“Thinking，我發現了一個有趣的項目，CZ 在高頻使用，我們或許可以 0 成本和 CZ Say Hi。”於是我們迅速擬定了幾個可能的漏洞點：
劫持 CZ 在 ReachMe 的賬號；
更改 CZ 在 ReachMe 的設置；

不花錢給 CZ 發消息，繞過給他發消息要花費 1 BNB 的限制。

大約在 10 分鐘後，我們發現可以在 ReachMe.io 低成本和任意用戶 Say Hi 的漏洞，於是我們第一時間聯繫了項目方團隊，並提供漏洞驗證的詳情。項目團隊也在第一時間就迅速修復了該漏洞，同時聯繫我們進行復測。爲 ReachMe 團隊認真嚴謹對待安全問題的態度點贊！

作者：Kong
編輯：Sherry
前言
以太坊即將迎來 Pectra 升級，這無疑是一次意義重大的更新，衆多重要的以太坊改進提案將藉此契機被引入。其中，EIP-7702 對以太坊外部賬戶(EOA) 進行了變革性的改造。該提案模糊了 EOA 與合約賬戶 CA 之間的界限，是繼 EIP-4337 之後，朝着原⽣賬戶抽象邁進的關鍵一步，爲以太坊生態系統帶來了全新的交互模式。
目前，Pectra 已在測試網絡完成部署，預計不久後便會上線主網。本文將深入剖析 EIP-7702 的實現機制，探討其可能帶來的機遇與挑戰，併爲不同的參與者提供實用的操作指南。

我們很高興宣佈，慢霧(Web3 項目安全手冊)（簡稱“紅手冊”）正式推出日文版。隨着 Web3 生態的快速發展，區塊鏈技術和加密貨幣已經深度融入全球金融體系，安全問題也隨之成爲行業關注的焦點。如何建立健全的安全規則、降低潛在風險，已經成爲 Web3 項目方和開發者亟需解決的課題。
爲了幫助全球 Web3 開發者系統性提升安全能力，我們此前推出了(Web3 項目安全手冊)，面向 Web3 生態的各類項目提供全面的安全指導，並已發佈中英雙語版本。今天，我們正式推出日文版，旨在方便更多日語讀者閱讀和學習，掌握 Web3 安全的最佳實踐。日本作爲 Web3 發展的關鍵市場之一，擁有衆多區塊鏈企業、開發者和研究機構。此次發佈將幫助日本 Web3 社區更高效地獲取專業的安全知識，提升安全防範能力，並推動本地 Web3 生態的健康可持續發展。

​作者：小白
編輯：Liz
背景概述
在以太坊生態中，合約地址的確定性生成機制爲開發者提供了便利，但同時也引入了新的攻擊面。本期我們將分析通過使用 CREATE 與 CREATE2 操作碼在不同時間部署不同合約到同一地址的攻擊手法及防禦策略。往期智能合約安全審計入門文章見合集。
前置知識
我們先來了解以太坊地址生成的兩種規則：
1. CREATE
CREATE 是以太坊虛擬機(EVM) 中用於動態部署智能合約的原生操作碼。自以太坊創世區塊起，所有合約部署均依賴此機制。其核心特點是地址生成依賴於部署者賬戶的 nonce，因此地址是非確定性的（無法在部署前精確預知）。

作者：Lyndon & Lisa
編輯：Liz
背景
2025 年 2 月 21 日，加密貨幣交易所 Bybit 遭遇大規模黑客攻擊，被盜資金總額高達 14.6 億美元，成爲歷史上針對交易所最嚴重的攻擊之一。根據鏈上分析，黑客的主要洗錢方式是通過 THORChain 將 ETH 兌換成 BTC，傳言在短短几天內，黑客的洗錢活動爲 THORChain 帶來了 29.1 億美元的交易量和 300 萬美元的手續費收入。Bybit 聯合創始人兼首席執行官 Ben Zhou 在 3 月 4 日確認，黑客共通過 THORChain 兌換了 361,255 枚 ETH（約 9 億美元），佔被盜資金的 72%。

昨天，我們正式啓動了 Call for Paper，邀請全球安全研究員、開發者和合規專家提交議題，共同推動 Web3 安全與合規的發展。2025 香港 Web3 嘉年華的序幕已然拉開，作爲全球 Web3 領域的重要盛會，它不僅匯聚了行業頂尖企業，也爲技術創新與行業合規的深入交流提供了重要舞臺。
今年，慢霧(SlowMist) 作爲白金贊助商和 Side Event 贊助商，將設立展臺，並舉辦 Hacking Time 主題論壇，圍繞 Web3 安全與合規的關鍵議題，與業界同行共同探討挑戰與機遇。接下來，本文將爲您詳細介紹我們的主要活動安排。

​2025 年 4 月 6 日至 9 日，由万向区块链实验室与 HashKey Group 联合主办的第三届香港 Web3 嘉年华将在香港盛大举行。
自 2023 年首届香港 Web3 嘉年华成功举办以来，这一盛会已成为全球 Web3 领域规模最大、影响力最深远的行业活动之一。2025 香港 Web3 嘉年华的议题不仅全面覆盖 Web3 原生应用与热门项目，也将在 4 天时间内通过 4 大会场展开深度探讨，每日主会场聚焦核心议题，其余三大活动会场则同步呈现多元主题论坛。
作为本次盛会的白金赞助商和 Side Event 赞助商，慢雾(SlowMist) 不仅在 D06 展位拥有独立的交流空间，还将于 2025 年 4 月 8 日下午 14:00 ~ 18:00 在分会场三举办主题为 Hacking Time: Web3 Security and Compliance 的安全论坛活动。
安全论坛报名链接：https://lu.ma/slowmist_2025hongkong。
Hacking Time
2019 年，慢雾(SlowMist) 举办了第一期 Hacking Time。自创办以来，Hacking Time 始终以技术驱动，汇聚了全球顶尖安全研究员，致力于推动区块链生态的安全建设。作为慢雾(SlowMist) 黑客文化的重要体现，Hacking Time 以分享与交流为核心，每一次 Hacking Time 活动都是一次思想碰撞与交流的机会，不仅加深了我们对区块链安全与技术的理解，也为区块链从业者提供了深入探讨的契机。
(https://ht.slowmist.io/)
回顾 2024 年，我们在香港 Web3 嘉年华期间成功举办了 Hacking Time: Web3 Security and Compliance 的主题活动，吸引了来自全球的安全专家、合规专家、开发者和行业领袖，共同探讨 Web3 的安全与合规挑战。凭借高质量的内容和前瞻性的视角，Hacking Time 赢得了广泛关注，这也更加坚定了我们持续推进安全技术交流的信念。
2025 年，我们将继续秉持技术驱动与深度交流的精神，汇聚知名安全专家、合规专家和区块链创新者，共同探讨前沿解决方案，分享最佳实践，为参与者提供一个高质量的平台和构建更安全、更合规的 Web3 环境所需的知识和工具，在 Hacking Time 安全论坛上展开深层次的探讨。
Call for Paper
Call for Paper 现已开启！如果你在 Web3 安全与合规领域有深入研究，欢迎向我们提交议题！无论是最新的攻击分析、智能合约漏洞研究、链上取证案例，还是数据保护、隐私和反洗钱研究等方向，我们期待你的分享。Hacking Time 始终致力于提供最具价值的技术讨论平台，让你的研究影响更广泛的受众，同时为活动参与者带来新的思维方式以及许多启示。
此外，4 月 6 日至 9 日嘉年华期间，慢雾(SlowMist) 还在 D06 展位为大家准备了丰富的奖品以及拍照打卡区，欢迎小伙伴们前来交流互动 :)
如果你希望以合作伙伴或赞助商身份参与，可以通过以下方式联系我们，让我们携手并进，共筑 Web3 安全生态！
邮箱：[email protected]
X：https://x.com/SlowMist_Team
官网：https://www.slowmist.com/

作者：Lisa & 耀
編輯：Liz
近日，有用戶反饋 Chrome 知名代理切換插件 SwitchyOmega 存在盜取私鑰的風險。
經分析發現，該安全問題並非首次出現，早在去年就已有相關安全提醒。然而，部分用戶可能未注意到警告，仍在使用受污染版本的插件，從而面臨私鑰泄露、賬戶被劫持等嚴重風險。本文將解析此次插件被篡改的情況，並探討如何預防插件篡改及應對惡意插件。
事件回顧
此次事件最早的披露源於一起攻擊調查[1]。2024 年 12 月 24 日，Cyberhaven 的一名員工遭遇釣魚郵件攻擊，導致其發佈的瀏覽器插件被注入惡意代碼，試圖竊取用戶瀏覽器的 Cookie 和密碼並上傳至攻擊者服務器。Cyberhaven 邀請了 Booz Allen Hamilton 公司進行獨立調查，Booz Allen Hamilton 在威脅情報報告[2] 中指出，谷歌插件商城中已有 30 餘款插件遭受同樣的攻擊，其中包括 Proxy SwitchOmega (V3)。