慢雾 SlowMist

作者：九九&Kong&Lisa
編輯：Liz
背景
2025 年 7 月 9 日，據慢霧 MistEye 安全監控系統監測，知名去中心化交易平臺 GMX (@GMX_IO) 遭攻擊，損失價值超 4200 萬美元的資產。慢霧安全團隊第一時間對該事件展開分析，並將結果整理如下：
(https://x.com/SlowMist_Team/status/1942949653231841352)
相關信息
攻擊者地址：
https://arbiscan.io/address/0xdf3340a436c27655ba62f8281565c9925c3a5221
攻擊合約地址：
https://arbiscan.io/address/0x7d3bd50336f64b7a473c51f54e7f0bd6771cc355

作者：Lisa&Liz
編輯：Liz
背景
近期，美國財政部外國資產控制辦公室(OFAC) 宣佈制裁總部位於俄羅斯的 Aeza Group 及其關聯實體，理由是該公司爲勒索軟件和信息竊取工具提供託管服務。
(https://home.treasury.gov/news/press-releases/sb0185)
此次制裁涵蓋 Aeza Group 及其英國前臺公司 Aeza International Ltd.、兩家俄羅斯子公司（Aeza Logistic LLC 和 Cloud Solutions LLC）、四名高管（CEO Arsenii Penzev、總監 Yurii Bozoyan、技術總監 Vladimir Gast 以及管理人 Igor Knyazev），以及一個加密錢包(TU4tDFRvcKhAZ1jdihojmBWZqvJhQCnJ4F)。

背景
在區塊鏈黑暗森林中，我們常談論鏈上攻擊、合約漏洞、黑客入侵，但越來越多案例提醒我們風險已蔓延至鏈下。
據 Decrypt 與 Eesti Ekspress 報道，在近期一場庭審中，加密億萬富翁、企業家 Tim Heath 回顧了自己去年遭遇的一起綁架未遂案。攻擊者通過 GPS 追蹤、僞造護照與一次性手機掌握其行蹤，趁其上樓之際從背後發起襲擊，企圖用袋子套住他頭部並強行控制。Heath 咬掉對方一截手指後才得以脫身。

作者：Thinking
編輯：Liz
背景概述
2025 年 7 月 2 日，一名受害者聯繫到慢霧安全團隊，尋求協助分析其錢包資產被盜的原因。事件起因於他前一天使用了一個託管在 GitHub 上的開源項目 —— zldp2002/solana-pumpfun-bot，隨後加密資產被盜。
分析過程
我們隨即着手調查此次事件。首先訪問該項目的 GitHub 倉庫：https://github.com/zldp2002/solana-pumpfun-bot，可以看到它的 Star 和 Fork 數量相對較高，但其各個目錄下的代碼提交時間均集中在三週前，呈現出明顯的異常，缺乏正常項目應有的持續更新軌跡。

由於篇幅限制，本文僅羅列分析報告中的關鍵內容，完整內容可通過以下鏈接下載。
中文：https://www.slowmist.com/report/SlowMist-first-half-of-the-2025-report(CN).pdf
英文：https://www.slowmist.com/report/SlowMist-first-half-of-the-2025-report(EN).pdf
一、前言
2025 年上半年，區塊鏈行業在高速發展的同時，也持續承壓於日益複雜的安全威脅與合規挑戰。一方面，黑客攻擊持續活躍，APT 組織攻擊手段趨於模塊化、系統化，釣魚與社工攻擊氾濫，造成重大資產損失和用戶信任危機。另一方面，全球監管加速演進，各國政府和國際組織圍繞反洗錢、制裁、投資者保護等方面頻繁出臺新規。值得關注的是，穩定幣正逐步演化爲連接傳統金融與鏈上金融的關鍵基礎設施，全球主要金融機構與頭部加密平臺紛紛加快穩定幣戰略佈局。除此之外，黑產資金流轉模式不斷演變，鏈上追蹤技術與情報協作機制也持續進化，監管機構與頭部平臺的合作日益密切，資金凍結與追回案例顯著增加，對鏈上犯罪與非法資金形成更強震懾。

自慢霧(SlowMist) 上線 MistTrack 被盜表單提交功能以來，我們每天都會收到大量受害者的求助信息，希望我們提供資金追蹤和挽救的幫助，其中不乏丟失上千萬美金的大額受害者。基於此，本系列通過對每個季度收到的被盜求助進行統計和分析，旨在以脫敏後的真實案例剖析常見或罕見的作惡手法，幫助行業參與者更好地理解和防範安全風險，保護自己的資產。
據統計，MistTrack Team 於 2025 年 Q2 季度共收到 429 份被盜表單，包括 278 份國內表單和 151 份海外表單，我們爲這些表單做了免費的評估社區服務。（Ps. 此數據僅針對來自表單提交的 Case，不包括通過郵箱或其他渠道聯繫的 Case）

背景概述
6 月 26 日，香港政府正式發佈(數字資產發展政策宣言2.0)，進一步明確將香港定位爲全球數字資產領域的創新中心目標，而法定穩定幣則是重中之重。同時，香港金融管理局(HKMA) 正積極構建法定穩定幣 FRS(fiat-referenced stablecoin) 的監管框架，旨在保障金融穩定、保護用戶利益，並促進虛擬資產生態系統的健康發展。這一前瞻性舉措，爲尋求合規與安全的 FRS 發行人帶來了新的挑戰與機遇。 

作者：Lisa
編輯：Liz
數據統計：慢霧 AML 團隊
隨着全球打擊網絡詐騙、地下支付網絡和非法跨境洗錢活動的力度持續加大，名爲匯旺支付(HuionePay) 的平臺引起了監管的高度關注。該平臺涉嫌被用於詐騙資金的接收、轉移及出金，尤其是在 TRON 鏈上通過 USDT 頻繁進行鏈上操作。
爲進一步揭示其鏈上行爲特徵，慢霧(SlowMist) 基於鏈上反洗錢與追蹤工具 MistTrack 與鏈上公開數據構建了 Dune 數據統計面板，並在此基礎上開展了對匯旺支付(HuionePay) 在 TRON 鏈上 USDT 存取行爲的深入分析。注：本文數據時間範圍爲 2024 年 1 月 1 日至 2025 年 6 月 23 日，數據源自慢霧(SlowMist) 製作的數據統計面板：https://dune.com/misttrack/huionepay-data。

作者：Lisa & 23pds
編輯：Sherry
背景
2025 年 6 月 18 日，鏈上偵探 ZachXBT 披露，伊朗最大的加密交易平臺 Nobitex 疑似遭遇黑客攻擊，涉及多條公鏈的大額資產異常轉移。
(https://t.me/investigations)
慢霧(SlowMist) 進一步確認，事件中受影響資產涵蓋 TRON、EVM 及 BTC 網絡，初步估算損失約爲 8,170 萬美元。
(https://x.com/slowmist_team/status/1935246606095593578)
Nobitex 也發佈公告確認，部分基礎設施和熱錢包確實遭遇未授權訪問，但強調用戶資金安全無虞。

背景
從 OpenAI 的 GPT 系列到谷歌的 Gemini，再到各類開源模型，先進的人工智能正在深刻重塑我們的工作與生活方式。然而，技術飛速發展的同時，一個值得警惕的陰暗面也逐漸浮現 —— 無限制或惡意大型語言模型的出現。
所謂無限制 LLM，是指那些被特意設計、修改或“越獄”，以規避主流模型內置的安全機制與倫理限制的語言模型。主流 LLM 開發者通常會投入大量資源，防止其模型被用於生成仇恨言論、虛假信息、惡意代碼，或提供違法活動的指令。但近年來，一些個人或組織出於網絡犯罪等動機，開始尋找或自行開發不受限制的模型。鑑於此，本文將盤點典型的無限制 LLM 工具，介紹它們在加密行業中的濫用方式，並探討相關的安全挑戰與應對之道。

概覽
2025 年 5 月，Web3 安全事件總損失約 2.66 億美元。其中，據慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io) 統計，共發生 15 起被黑事件，導致損失約 2.57 億美元，有 1.62 億美元得到凍結或返還，事件原因涉及合約漏洞、預言機攻擊和賬號被黑等。此外，據 Web3 反詐騙平臺 Scam Sniffer 統計，本月有 7,164 名釣魚事件受害者，損失規模達 963 萬美元。
(https://dune.com/scam-sniffer/may-2025-scam-sniffer-scam-report)

作者：Liz & Reborn
編輯：Liz 
背景
昨天，一位用戶聯繫到慢霧安全團隊，詢問如何取消簽名，並附帶了一張截圖，顯示其錢包地址存在風險授權。
該用戶表示，自己錢包中有一項授權始終無法撤銷，點擊多次均無反應，錢包界面也顯示了風險提示。他又回憶起多年前曾爲某代幣的 Swap 操作授權過一次，因此感覺此次風險提示並非空穴來風。
披着安全外衣的騙局
慢霧安全團隊使用區塊瀏覽器及 Revoke 進行排查，卻並未發現截圖中地址的風險授權記錄。不久後，用戶又發來另一張截圖，顯示其在某工具中查詢出的結果。經對比，兩張截圖中的地址並不一致。我們隨即建議用戶將該工具的鏈接與相關地址一併提供。此時，用戶也開始疑惑：難道自己兩個地址都有風險授權？

作者：Lisa & 23pds
編輯：Liz 
背景
2025 年 5 月 21 日，美國司法部(DOJ) 聯合微軟及多國執法機構，成功查封臭名昭著的信息竊取惡意軟件 LummaC2 的核心基礎設施。被查封的 5 個關鍵域名及其子域名，均爲 LummaC2 的基礎運營節點，執法機構成功定位並控制了其背後的 2,300 多個站點，間接打擊了大量依賴此工具的下游攻擊團伙。
根據 FBI 披露，LummaC2 至少已被用於實施超過 170 萬起信息竊取攻擊，目標包括但不限於瀏覽器自動填充信息、電子郵件與銀行賬戶登錄憑據、加密錢包助記詞等。此次查封行動分階段進行：政府於 5 月 19 日查封了兩個域名；5 月 20 日，LummaC2 管理員通知用戶新增了三個替代域名；次日，這三個域名也被查封。

作者：Victory & Lisa
編輯：Liz 
背景
5 月 22 日，據社區消息，SUI 生態上的流動性提供商 Cetus 疑似遭攻擊，流動性池深度大幅下降，Cetus 上多個代幣交易對出現下跌，預計損失金額超過 2.3 億美元。隨後，Cetus 發佈公告稱：“我們協議中檢測到了一起事件，安全起見，智能合約已暫時暫停。目前，團隊正在對該事件展開調查。我們很快會發布進一步的調查聲明。” 
事件發生後，慢霧安全團隊第一時間介入分析，併發布安全提醒。以下是對攻擊手法及資金轉移情況的詳細解析。

作者：Liz & Lisa
編輯：Sherry
背景
在加密資產領域，社會工程攻擊正成爲用戶資金安全的重大威脅。自 2025 年以來，大量針對 Coinbase 用戶的社交工程詐騙事件不斷浮出水面，引發了社區的廣泛關注。從社區的討論不難看出，此類事件並非孤立個案，而是一種具有持續性和組織化特徵的騙局類型。
5 月 15 日，Coinbase 發佈公告，證實了此前關於 Coinbase 裏有“內鬼”的種種猜測。據悉，美國司法部(DOJ) 已啓動針對該起數據泄露事件的調查。

作者：Lyndon & Lisa
編輯：Sherry
在上一期，我們詳細介紹了 THORChain 的架構原理與跨鏈識別方法，本期我們將目光轉向另一個主流跨鏈工具 —— Bitget Swap。
Bitget Swap 是什麼？
Bitget Wallet（前身爲 BitKeep）是一款去中心化多鏈錢包，支持資產管理、DApp 瀏覽、NFT 市場及交易功能。作爲其核心組件之一，Bitget Swap 提供了聚合式的去中心化交易體驗，尤其在跨鏈兌換場景中具備一定優勢。

前情回顧：LockBit 是誰？
LockBit 是一個活躍的勒索軟件即服務(RaaS，Ransomware-as-a-Service) 組織，最早出現在 2019 年 9 月，由於最初版本在加密文件時會添加“.abcd”後綴，它曾被稱爲“ABCD 勒索軟件”。該團伙以其技術成熟、高度自動化、勒索效率高而著稱，在全球範圍內發起了大量針對企業、政府、教育和醫療機構的攻擊，已被多個國家安全機構列爲高級持續性威脅(APT) 組織。我們曾在去年披露過這個組織。

作者：Lisa
編輯：Liz
背景
2025 年 4 月，聯合國毒品和犯罪問題辦公室（以下簡稱“UNODC”）發佈了一份名爲(東南亞詐騙中心、地下錢莊和非法網絡市場的全球影響)的報告[1]。該報告系統分析了東南亞地區新興的跨國有組織犯罪形態，特別聚焦以網絡詐騙中心爲核心，融合地下錢莊洗錢網絡與非法網絡市場平臺構建的新型數字犯罪生態。
就在報告發布後不久，美國財政部[2] 於 2025 年 5 月 5 日宣佈對緬甸克倫民族軍（Karen National Army，簡稱 KNA）及其領導人和親屬實施制裁，認定其爲重大跨國犯罪組織，主導並協助開展網絡詐騙、人口販運和跨境洗錢活動。KNA 控制的緬泰邊境地區已成爲多個詐騙集團的聚集地，其與緬甸軍方的勾結使其得以在武裝控制區內大規模承租土地、提供電力保障與安保服務，支撐詐騙園區日常運作。2025 年 5 月 1 日，美國金融犯罪執法網絡[3] 還將 Huione Group 列爲主要洗錢關注對象，指出其爲朝鮮黑客組織及東南亞詐騙集團清洗虛擬資產犯罪所得的關鍵通道，涉及“殺豬盤”等各類虛擬資產投資詐騙。

作者：Lisa
編輯：Sherry
2025 年 4 月，美國聯邦調查局(FBI) 發佈了(2024 年加密貨幣欺詐報告)。該報告基於 FBI 網絡犯罪舉報中心(IC3) 在 2024 年收集的數據，分析了加密貨幣相關投訴的數量、損失規模、受害者畫像、犯罪類型及資產追回進展等內容。本文將對報告的核心內容進行解讀，幫助讀者快速掌握趨勢變化，提升對複雜網絡安全威脅的認知與防範能力。
(點擊文末的閱讀原文可查看該報告）

概覽
2025 年 4 月，Web3 安全事件總損失約 2,640 萬美元。其中，據慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io) 統計，共發生 18 起被黑事件，導致損失約 2,111 萬美元，有 1,789 萬美元得到凍結或返還，事件原因涉及合約漏洞、社會工程、內部作惡和私鑰泄露等。此外，據 Web3 反詐騙平臺 Scam Sniffer 統計，本月有 7,565 名釣魚事件受害者，損失規模達 529 萬美元。
(https://dune.com/scam-sniffer/april-2025-scam-sniffer-scam-report)