@SlowMist_Team 再次带来新干货。这次是很多人中过招的「剪贴板安全」问题。在许多加密资产被盗事件中，受害者最困惑的一点常常是：“我根本没联网传输过私钥，怎么就被盗了？”那么，这期内容就将围绕剪贴板安全展开，带你了解它的原理、攻击方式，以及防范建议，速览补电。 https://t.co/YlvYtEEIx5

顺利的话，明天我们 @SlowMist_Team 会发布：MCP 安全检查清单：AI ⼯具⽣态系统安全指南 MCP Security Checklist: A Security Guide for the AI Tool Ecosystem 来自我们的一线有关安全审计的经验汇总，一起玩耍。👀 https://t.co/hqFdaZEFou

🚨SlowMist Scam Alert🚨 We’ve received reports of fake Telegram groups impersonating #SlowMist# and scamming users via phishing investment links. One example: ❌t[.]me/slowmist1 — this is NOT us.‼️ ✅ Please report such groups to Telegram immediately. For your safety, always refer to our official channels: 1⃣Website: https://t.co/IO2VWk2pae 2⃣X: @SlowMist_Team & @MistTrack_io 3⃣Email: team@slowmist.com If in doubt, feel free to DM us directly. ⚠️Stay vigilant and verify before you trust.

Highly recommend everyone to read the Blockchain Dark Forest Selfguard Handbook produced by @SlowMist_Team team. The best reading to save your assets from hackers' hands in crypto. https://t.co/LRJJJy44yA supports 6 languages, and will continue to update! Be safe, be successful ! 熟读《web3 黑暗森林》， 才能沐浴在区块链阳光之下. https://t.co/LRJJJy44yA 谢谢余大 @evilcos 寄的 “web3安全圣经”，还记得同样去年的五一左右，同样的雨季，被盗了几万U的我无助的找到余老师，进而深度了解到黑皮书，果断参与一起翻译韩语版，这样伟大的东西太值得传播！ 要把它放在办公桌最显眼的地方时刻提醒自己，妈妈再也不用担心我被盗了 https://t.co/LRJJJy44yA 支持6种语言，持续更新中...

不打不相识，因为一场误会 与链上白帽 @evilcos 相识 Web3 那么大，不能什么都做 @SlowMist_Team 的创始人 余总，真正做到了 Light in the Dark Forest 我说：真正有实力的，不需要证明自己来自多牛逼的背景，在发生事情的过程中，就能够感受到。 在Web3 努力耕耘的人都应该点赞👍 感谢余总的礼物，连茶名都那么Meme 果然是Web3 人🤣 #slowmist# #kazepay# #Web3#

🔥New Unphishable challenge just dropped: Fake Zoom Meeting Phishing. Job offers turned into attack vectors — a common tactic targeting developers. Challenge contributor: @SlowMist_Team If you've been through a similar “recruitment” flow, check your laptop now. #Unphishable# https://t.co/lfMdujEXyA

Web3/Crypto 安全框架两张图，我 2018 年开始画，这是最新版，如果要展开内容恐怕会非常之多，多到什么程度，请自行对比 ATT&CK 框架（攻击视角）… 我们 @SlowMist_Team 关注整体安全，不是一天天的钓鱼😱 https://t.co/YBNiERrr5A

其实还有后续，当年立案后由于缺失证据，该案件的嫌疑人被取保候审。然后年底在厦门以同样的操作手法盗取了厦门一位受害人价值一个多亿的比特币，但是在24年深圳警方告诉我才知道。@SlowMist_Team 漫雾安全团队也知道该事情，不知道厦门的币圈伙伴有没有听说过

新干货来了。这次是很多人中过招的「剪贴板安全」问题。在许多加密资产被盗事件中，受害者最困惑的一点常常是：“我根本没联网传输过私钥，怎么就被盗了？”那么，这期内容 @SlowMist_Team 就将围绕剪贴板安全展开，带你了解它的原理、攻击方式，以及防范建议，速览补电。 https://t.co/YlvYtEEIx5

🔗 MCP tools are crucial bridges between AI models and external systems, but bring security risks. 🛡️ SlowMist released an "MCP Security Checklist" covering Host, Client, Server layers and crypto scenarios to help safely integrate blockchain and AI. 🤖💰

大家注意下，最近邮箱里经常会收到 New login to X From XXX 的邮件，大多都绕过了 Gmail 垃圾邮件风控会正常显示出来。内容基本都是提醒你的 X 被异常登录了，然后你如果按提醒文案去 Change your password 或者 Review the apps，那么你将被引导到 X 官方的第三方应用授权页面，一旦授权，你的 X 如下关键权限就在钓鱼骗子那了： Post and repost for you. 未来你的 X 上就会出现莫名其妙不是你自己发的推文…😅 cc @SlowMist_Team

🔥Solana Smart Contract Security Best Practices is back with a major update!🚀 Since its release, the Solana Smart Contract Security Best Practices has received positive feedback from the community, with many developers and security researchers endorsing and recommending the guide. Based on the latest SlowMist audit experience, we've extensively enhanced the guide to provide comprehensive security solutions for developers within the Solana ecosystem. This update covers vulnerability descriptions, attack scenarios, and fix recommendations. 👀Read the full update on GitHub: https://t.co/2hVMeo7rHo #Solana# #SmartContractSecurity# #BlockchainSecurity# #audit#

Dear Community, We are pleased to announce that we have successful recovery of all stolen funds related to the recent security incident. This outcome underscores our commitment to protecting user assets and fostering a secure ecosystem. 1. Case Resolution Progress - The legal process to formally close the case is now underway, in coordination with judicial authorities, our legal team, and third-party experts (special thanks to @SlowMist_Team @blitezero, who have extensive experience in such matters). - With all affected funds fully restored (leaving no victims), we are fulfilling our pledge to resolve this matter fairly and transparently. 2. White Hat Reward & Trust Building - In adherence to our agreement, we will award 10% of the recovered amount as a bounty to the white hat involved, recognizing their contribution to improving our platform’s security. - We prioritize long-term collaboration with the ethical security community and view this resolution as a cornerstone for mutual trust. 3. Next Steps - Updates on the legal withdrawal process will be shared via X - No further legal action will be pursued—this matter is considered resolved in good faith. We extend our sincere gratitude to the following partners for their invaluable support and cooperation in resolving this incident: @SlowMist_Team @binance @blitezero @BlockSecTeam SEAL 911( @_SEAL_Org ) 台灣K佬 @scalebit_ @MantaNetwork @BNBCHAIN @PolyhedraZK @kleinlabsxyz @D11_Labs @sherlockdefi @taikoxyz @BSquaredNetwork @rhinofi @izumi_Finance @Orbiter_Finance @AcrossProtocol @mesonfi @1inch @bitgetglobal @Bybit_Official @Gate_io @kucoincom @MEXC_Official @vooi_io @TrustaLabs @0xsexybanana @anyhappen79 @0x_ZackH Their expertise and collaboration were instrumental in achieving this resolution. We thank our users and the broader community for their trust and patience. Moving forward, we remain steadfast in upholding the highest standards of security and accountability. Best KiloEx Team

🚨我遇到求職詐騙了，第一次遇到社交工程攻擊。🚨 希望大家幫忙分享，大牛市不要再有更多受害人了。 以下會用我的第一視角講解整起事件跟我是怎麼發現的。 English Ver：https://t.co/rTPHQF367F 🚨一切起源於 7 月 11 日，我收到推特帳號 @chuiso_eth 的私訊。儘管意外，但由於我本身就有經營內容創作，且這個帳號有許多共同追蹤，所以我打破了自己原先只接熟人介紹合作的原則。 不過我還是向身邊朋友再度確認，身邊朋友也認為共同追蹤者很多，所以我對這個人有了初步信任。 他表示他正在為一個專案做招募，並附上 Linkedin 連結。他給的連結是名為 WeLab 的公司，初步調查這是一間香港數位銀行，但只看到銀行及借貸媒合的業務。 https://t.co/7C4SQwekmQ 且以香港合規公司來說，如果有涉獵 Crypto 領域應該會更謹慎才對。同時我搜尋該名 HR 的名字 Bon Hwa SW，在整個 Linkedin 上都沒有資料，這是我第一個懷疑的點。 職缺介紹含糊不清？ 他解釋他們公司有在做早期新創的投研，所以對我開出研究員丶內容作者的兼職職缺。 他表示該職缺的職責是：「要尋找新技術，可能連結新的生態系統和協議來改進專案。您將報告一項特定的技術，您將與開發團隊聯繫以獲取建議。」 這時我的想法是，這個描述也太籠統了吧，所以我進一步索取 JD。 之後我詢問 @monsterblockhk 的 @0xScottlai ，他說他沒聽過這間公司，但 Linkedin 有認識的人追蹤該公司。 建立信任後用陌生軟體發起會議 後續對方並沒有給我 JD，並請我進 Telegram 群組與他的同事進一步交流。這個群組裡包含我共有六人，名為 Olivia 的帳號甚至傳送一個在飛機上即將起飛的影片，讓我信任他們是真人。 接著 Jessica Krian 僅概述了工時等待遇，並請我提供 CV。我追問他們是如何找到我的，他們僅回覆一個 MOD 找到我並推薦給他，他再轉推給 HR，後面也沒繼續回覆。 🚨後續我們約了線上會議，就在約定時間即將來臨時，我率先發問要用哪個軟體開會？接著他們提供了 KakaoVoice 的會議連結而非 Google Meet 或 Zoom，這時我心中警鈴大響。 我直接了當表達自己的疑慮，並提出由我發起會議，後續五個人驚然都不讀訊息了，很顯然我遇到了社交工程攻擊了。 事後我從 @SlowMist_Team 創辦人 @evilcos 先前的貼文中尋找類似案例 可怕的是我使用 Virus Total 來檢測網頁，我將對方的連結貼上檢查，竟然查不出任何問題。 接著我們逐一復盤這個群組裡每個人的資料，我認為它們的破綻蠻多的。 🌟名為 Bon Hwa SW 的 HR 在自己的 Telegram 留下了 Linktree，除了 Twitter丶Telegram 等個人資訊外，還有名為 HOP 的交易所連結丶WeLab 公司 Lintree 連結及 @boundless_xyz 。我原先假設 WeLab 可能有投資 Boundless，所以實際是我是為 Boundless 工作。 🌟群組的創建者 Diddler Shwaz 主頁寫著自己的 X 帳號是 @shwaz_eth ，而該帳號的 Linktree 與 Telegram 帳號對應，所以基本確定是本人。 他的 X 表示自己出沒在加州及香港 (對應 WeLab 總部) 所以更有可信度。不過一個月前 @IAmSalvaMartini 曾 ethos 上對他留下負評，表示這個人是詐騙。 https://t.co/5gcUl1X0kO 我才發現六月份 @Sebyverse 就指控他用一樣的手段，假裝名為 Hop Protocol 的公司發送連結。 🌟名為 Olivia 的女性是白人，她表示自己以越南為主要據點。這還可以理解，很多人都在越南數位遊牧。她的 Linktree 同樣有 Boundless 這個專案的連結 比較可疑的是推特帳號 @Olivia_lens 竟然都以簡體中文創作，當然也可以解釋為英文母語人士嘗試經營中國粉絲。喔對了，她還有名為 Olivia Cooking 的推特頻道。 🌟Jessica Krian 就沒有 Linktree 了，但她的 Telegram 自我介紹竟是用簡體中文寫下：每一天都是新的機會。 🌟最後一位也是群組的主要發話人 Coinacci，他的 Linktree 同樣有 Boundless 及 WeLab 的連結。不過其中 Twitter 連結到名為 @Coinacci 的帳號，這個帳號宣稱自己是 @0xCoinacci 並轉貼他所有貼文。 我私訊 @0xCoinacci 後，他表示群組裡的那個帳號盜用他的身份。 只能說這些人誰不騙，跑來騙加密貨幣媒體編輯 社交工程攻擊的新聞看多了，KakaoVoice 出來我就覺得不對 這起事件可怕的是對方的 Twitter 有很多共同追蹤 增加了很多可信度 這邊推薦可以去 https://t.co/Ihsm5ncrcB 訓練一下自己的反詐意識 是 @SlowMist_Team @DeFiHackLabs @realScamSniffer 做的教育平台