慢

ChainCatcher 消息，据 SlowMist 創始人余弦（@evilcos）分析，此次 KelpDAO 約 2.9 億美元被盜事件的攻擊核心為針對 LayerZero DVN（去中心化驗證器網絡）下游 RPC 基礎設施的定向投毒。具體攻擊步驟為：首先獲取 LayerZero DVN 所使用的 RPC 節點列表，隨後攻破其中兩個獨立集群並替換 op-geth 二進制文件；利用選擇性欺騙技術，僅對 DVN 返回偽造的惡意 payload，對其他 IP 則返回真實數據；同時對未被攻破的 RPC 節點發動 DDoS 攻擊，迫使 DVN 故障轉移至已被投毒的節點，完成偽造消息驗證後惡意二進制自毀並清除日誌。最終導致 LayerZero DVN 為"從未發生過的交易"簽發驗證。

ChainCatcher 消息，慢霧科技首席信息安全官 23pds 轉推稱，雲托管平台 Vercel 內部系統遭未經授權訪問一事，疑似與內部數據洩露有關。相關推文表示，有人在 BreachForums 上自稱為 ShinyHunters，以 200 萬美元出售所謂 Vercel 內部數據庫、訪問密鑰、源代碼、員工帳號、API keys、NPM tokens 及 GitHub tokens 等。相關數據疑似涉及 Vercel 內部 Linear 系統及內部用戶管理系統。此前消息，雲托管平台 Vercel 披露內部系統遭未授權訪問，少量客戶受影響。

ChainCatcher 消息，据金十報導，「美聯儲傳聲筒」 Nick Timiraos 表示，美聯儲會議紀要顯示，「絕大多數」官員認為通脹緩解的步伐可能慢於預期，主要源於三項相互交織的擔憂：關稅對商品價格的影響可能需要更長時間才能消退；油價對核心通脹的傳導效應；以及多年通脹率高於目標水平，導致通脹預期更容易受到新一輪衝擊的影響。

ChainCatcher 消息，据官方消息，區塊鏈安全機構慢霧（SlowMist）近期發布安全評估報告，對 OKX Wallet 進行專項審計。結果顯示，在已審核版本中，未發現應用向外部伺服器傳輸私鑰或助記詞等敏感信息的行為，整體未檢測到敏感數據洩露風險。據悉，此次評估重點圍繞 OKX Wallet 是否存在私鑰及助記詞外傳問題展開，結果表明相關核心信息均在本地處理。當前私鑰與助記詞的處理方式已成為錢包安全核心，此類審計結果也為用戶提供了更直接的安全參考。

ChainCatcher 消息，慢霧發文分析 Drift 被盜事件指出，攻擊發生前一週，Drift 將多簽機制調整為「2/5」（1 個舊簽名者+4 個新簽名者），且未設置時間鎖（timelock）。攻擊者隨後獲取管理員權限，偽造 CVT 代幣、操縱預言機、關閉安全機制，並從資金池中轉移高價值資產。目前，被盜資金已主要歸集至以太坊地址，合計約 105,969 枚 ETH（約 2.26 億美元）。慢霧表示，相關資金流向仍在持續追蹤中。

ChainCatcher 消息，据金十報導，美聯儲官員巴爾金表示，預計通脹進展將緩慢，不會迅速回到目標水平。

ChainCatcher 消息，慢霧創始人余弦在 X 平台發文表示，Coinbase 已將要求用戶輸入明文助記詞的頁面下線，他指出對於錢包來說在線網頁的安全模型非常低，遠低於擴展、App；在線網頁採集明文助記詞的做法很容易被釣魚網頁模仿學習，而且早已經是釣魚的常用手法。

ChainCatcher 消息，慢霧首席信息安全官 23pds（山哥）在 X 平台發文表示，有消息稱 LiteLLM 漏洞攻擊者已盜取約 300GB 資料，並竊取約 50 萬個憑證。他建議所有加密貨幣開發人員立即核查，儘快輪換相關密鑰與憑證，核查日誌、訪問記錄及敏感資料暴露情況，避免出現類似 Trust Wallet 事件的損失。此前消息，每月下載量達 9700 萬次的 LiteLLM 遭供應鏈攻擊，簡單安裝即可竊取 SSH 密鑰等全部敏感憑據。

ChainCatcher 消息，在慢霧創始人余弦披露 Coinbase Commerce 資產恢復頁面直接要求用戶輸入明文助記詞存在風險後，慢霧首席信息安全官 23pds 補充表示，該頁面的站點地圖也存在缺陷，惡意攻擊者可以輕易使用 ResourcesSaver 等工具下載前端代碼並部署類似的網站。如果將其與 Coinbase 等類似的域名結合使用進行網絡釣魚攻擊，用戶很容易上當受騙。

ChainCatcher 消息，隨著 AI Agent 在加密交易中的應用快速升溫，自動化交易正從"工具輔助"邁向"自主執行"。但與此同時，一系列安全風險也在同步顯現。近日，安全機構 SlowMist 與全景交易所 Bitget 聯合發布 AI Agent 安全報告，對當前 Web3 場景下 Agent 自動化交易的潛在威脅與防護體系進行了系統性梳理。報告結合真實案例與安全研究，剖析了當前 AI Agent 面臨的典型安全問題，包括提示詞注入（Prompt Injection）導致的行為操控風險、插件與 Skill 生態存在的供應鏈隱患、API Key 及帳戶權限濫用，以及自動化執行引發的誤操作、權限擴大化等潛在威脅。報告建議，用戶在使用 AI Agent 進行交易時，應有效控制權限，通過子帳號隔離、設置 API IP 白名單，並建立持續的交易監控與異常告警機制。同時，在高風險操作中引入人工確認或獨立簽名機制，避免模型誤判直接影響資產安全。為方便用戶落實安全防護，報告在文末附交易安全自查表，助力用戶快速排查安全隱患。從行業發展來看，AI Agent 正持續推動 Web3 交易智能化，但安全體系建設仍需同步升級。如何在效率與可控性之間建立平衡，將成為行業長期關注的重要課題。

ChainCatcher 消息，慢霧餘弦在 X 平台發文表示："一個群體被黑事件正在發生，黑客地址：0x913efc2062984288a0a083cd42b3a3422c07fcef，目前黑客累計獲利 8.5 萬美元，還在持續增加。從社區反饋來看，這個群體主要屬於薅羊毛玩家，私鑰/助記詞被黑客提前採集。黑客正在歸集相關資金。如果正在用 MoreLogin 指紋瀏覽器需務必注意，但目前沒有證據一定是 MoreLogin 或相關插件出問題。"

ChainCatcher 消息，慢霧科技首席信息安全官 23pds 發文提醒稱，ClawHub 開發者請注意釣魚和憑據洩露風險。目前 ClawHub 依賴開發者 GitHub 一鍵登入，之前 Sha1-Hulud 蠕蟲竊取大量開發者的 GitHub 憑據，攻擊者可能會伺機攻擊 Skills。攻擊路徑為：憑證竊取→攻擊者獲取 GitHub 權限→以開發者身份登入 ClawHub→發布惡意 Skills 植入後門→用戶下載安裝後執行惡意代碼導致系統入侵。

ChainCatcher 消息，据慢霧科技首席信息安全官 23pds 披露，情報系統發現名為 "@openclaw-ai/openclawai" 的惡意 npm 包正在實施多層攻擊。該惡意包偽裝成名為 OpenClaw Installer 的合法命令行工具，旨在竊取用戶敏感信息，包括系統憑證、加密錢包私鑰、瀏覽器數據、SSH 密鑰以及 Apple Keychain 數據庫等。

ChainCatcher 消息，据慢霧科技首席信息安全官 23pds（@im23pds）監測，攻擊者正對 Bing AI 搜索結果進行投毒，誘導用戶下載並安裝偽造的 OpenClaw 程序，從而竊取用戶的加密資產和敏感信息。

ChainCatcher 消息，慢霧 CISO 23pds (山哥) 在 X 平台發文表示，淘寶、咸魚出現 U 盤版 OpenClaw，宣稱用戶購買後配置模型即插即用。但 OpenClaw 權限過大，惡意 Skills 普通用戶難以識別，易導致資產損失。

ChainCatcher 消息，慢霧創始人餘弦在 X 平台發文表示："不信任 OpenClaw 的穩定性或韌性的，但對 Claude Code 挺放心，這可是軟體工程的核心目標之一。安全重視上，兩家對安全的重視力度都很高，提交的漏洞有得到很及時的反饋。某些 OpenClaw fork 或參考版本，對安全的積極性就差了許多。安全場景上，OpenClaw 雖然也有 Sandbox 機制，也試圖在工具權限上做更細粒度的設計，但如其名'OpenClaw'，Open 是其最大魅力，束手束腳的 OpenClaw 就不是 OpenClaw 了，又希望它自由，又希望它可控，這是大家糾結的一點，但真正生產環境下，過度自由的 OpenClaw 容易失控。"

ChainCatcher 消息，据金十報導，美聯儲官員柯林斯表示，預計通脹將緩慢回落至 2% 的目標。

ChainCatcher 消息，慢霧科技首席信息安全官 23pds 發布提醒稱，警惕虛假 imToken Chrome 擴展程序。Chrome 應用商店一個虛假 imToken Chrome 擴展程序，會釣魚獲取種子短語和私鑰。

ChainCatcher 消息，据金十報導，凱文·沃什試圖縮減美聯儲資產負債表的計劃將僅會緩慢推進。沃什指出，美聯儲近 7 萬億美元的資產負債表已越界涉入國會職權範圍，並認為大規模債券購買扭曲了金融市場。知情人士透露，沃什將在與銀行及公眾磋商後，才會著手調整資產負債表，且不太可能將規模恢復至 2008 年金融危機前水平。

ChainCatcher 消息，慢霧宣布推出 MistTrack Skills，旨在為 AI Agent 提供鏈上地址風險分析與反洗錢（AML）檢測能力。在 AI Agent 與 Skills 生態快速發展的背景下，該工具可幫助 Agent 在執行轉帳、Swap 及其他鏈上操作前，自動完成地址級安全評估。MistTrack Skills 基於 MistTrack 的 OpenAPI 構建。官方數據顯示，MistTrack 已收錄超 4 億個鏈上地址與 50 萬條威脅情報數據，支持包括 Bitcoin、Ethereum、TRON、BNB Smart Chain、Solana、Sui 等多條主流公鏈的風險分析。API 能力涵蓋地址標籤查詢、風險評分、交易調查、資金流向追蹤、交易對手分析及異步風險任務等模塊。開發者在配置 MISTTRACK_API_KEY 後，可在 OpenClaw、Claude Code 等 AI Agent 工具中調用相關功能。同時，該技能支持與 Bitget Wallet Skill、Trust Wallet Skills 等錢包類技能集成，在執行轉帳或簽名前自動對收款地址進行 AML 檢測。慢霧表示，隨著 AI Agent 逐步參與鏈上資產操作，安全能力需要從工具層升級為默認基礎設施能力。MistTrack Skills 的推出，意在為 AI 與 Web3 場景結合提供更完整的鏈上風險控制方案。