Cos(余弦)😶‍🌫️

8.9K posts

Cos(余弦)😶‍🌫️

@evilcos

Founder of @SlowMist_Team // 分身一号/捉虫大师/救火运动员 // 🕖灾备频道 https://t.co/bMGdsBkYwM

HACKING Katılım Kasım 2008

1.5K Takip Edilen121.7K Takipçiler

Sabitlenmiş Tweet

Cos(余弦)😶‍🌫️@evilcos·10 Tem

这行业割韭菜的行为越多，诈骗越多，跑路越多，黑客事件只会越多，一些有能力的黑客决不允许在“聪明”赚钱这块输过这般人。

中文

464

565

185.8K

Cos(余弦)😶‍🌫️@evilcos·1h

@wuzhige4pixel 是的

日本語

武止戈👽🦀相比于《1984》, 我宁可《2012》@wuzhige4pixel·1h

@evilcos 这是贵公司的产品？

中文

Cos(余弦)😶‍🌫️@evilcos·1d

SlowMist AI 越来越强了😃

Kong'@TycheKong

Power by SlowMist AI 👇 **【攻击概览】** - 攻击类型：访问控制缺失（Missing Access Control）导致 LP 池代币被恶意 burn，造成 AMM 价格极端失真后套利 - 受害合约：ShiMama/Shibaba LP 池（`0x564cb2bae0b35cfc8c77d94d65015fe898f8f927`） - 攻击者地址：`0xd10880e7591e30a336b28a5855f0ccb4b8c7c8e9`（EOA） - 攻击合约：`0xcf7380462b7ca3e9f1717d17372eb093bf87f8d5`（在本次交易中动态部署） - 获利金额：约 **52.98 WBNB**（净获利，已扣除 30.78 shimama 代币成本和 gas） --- **【漏洞根本原因】** 合约：`ShiMamaProtocol`（`0x5049d10378356fde0b44c93fa7bb75836f10b49a`）函数：`executePairBurn(uint256 referenceIn, uint256 minPullFromPair, uint256 deadline)` 缺陷：该函数缺少任何形式的访问控制，任意外部地址均可调用。攻击者可以传入任意大小的 `referenceIn` 参数，配合 `pairBurnBpOnSell = 10000`（100% burn 比例），一次性将 LP 池中几乎全部 shimama 代币强制抽取并 burn 掉，导致 LP 池中 shimama 余额接近于零，AMM 定价机制随之产生极度失真——用极少量 shimama 即可从池中换出大量 shibaba 代币套利。

中文

8.8K

Cos(余弦)😶‍🌫️@evilcos·16h

@ACai_sec 这种项目方迟早掉坑里

中文

1.6K

ACai@ACai_sec·19h

搞安全给项目方提交漏洞真的是干乞讨一样自从把漏洞报告发给项目方以后，他们就像变了个人似的，也不回我消息了收到报告是立马转发工程师团队的，线上的漏洞是几个小时后就更新修复了的，收到报告后我发的消息是两天都不回的... 我真的是欠啊我😩整天干这些傻逼事情

中文

Cos(余弦)😶‍🌫️@evilcos·20h

@aojgv48769579 快了

日本語

3.7K

Laney Lang@aojgv48769579·20h

@evilcos 老师，morelogin这事请问有结论了吗

中文

3.8K

Cos(余弦)😶‍🌫️@evilcos·20h

很逗，我其中一个 OpenClaw 安装了一堆 Crypto Skills，配置了好几个钱包，里面都放了一点资金。一周下来，我已经不知道哪些钱包地址有资金，分别属于谁家的 Skill…一问 OpenClaw 又尼玛烧了我一堆 token…😭

中文

42.3K

Cos(余弦)😶‍🌫️@evilcos·21h

@Wiley_Collins_ 我们把骗子地址拉黑下，至于挽回损失就算了，难

中文

Wiley@Wiley_Collins_·21h

@evilcos 请求大佬有办法挽回损失吗

中文

Wiley@Wiley_Collins_·22h

我可能遇到了骗局：看到dappsy.io 这个交易所和币安的ETH 有差价，可以搬砖套利，一开始感觉小平台不可信的态度试一试。但身边朋友（旁边）在搬，而且安全着落。我从币安提了0.5个ETH 去试了一下，5% 左右的差价。然后我再提5000U的时候，提示需要再充值5000U才能提现要充吗

中文

177

Cos(余弦)😶‍🌫️@evilcos·21h

@xicilion 对，绝大多数时候代码具有确定性，而现在的 LLM 提示词不容易有确定性。

中文

2.3K

Cos(余弦)😶‍🌫️@evilcos·1d

@somaxbt @coinbase @im23pds 🤣

QME

3.1K

SomaXBT@somaxbt·1d

@evilcos @coinbase @im23pds hey @coinbase what is the use of this extension ?

English

3.8K

Cos(余弦)😶‍🌫️@evilcos·1d

我很疑惑 Coinbase 为什么会有这样的页面，直接让用户输入明文助记词做资产恢复？如此不安全的行为，匪夷所思…@coinbase 我都差点以为子域名被黑了…cc @im23pds withdraw.commerce.coinbase.com/seed-phrase

中文

314

123.1K

Cos(余弦)😶‍🌫️@evilcos·1d

@jubaopeng_jp 现在已经是这样了，但剩下一下半还必须依赖人类专家。

中文

108

鵬于晏@jubaopeng_jp·1d

@evilcos 你觉得以后审计会不会直接被 AI 接管一大半？🤔

中文

104

Cos(余弦)😶‍🌫️@evilcos·1d

@im23pds @coinbase 😂

QME

7.5K

23pds (山哥)@im23pds·1d

@evilcos @coinbase 而且页面做的非常不讲究… sitemap 这种不设置就直接上线了:-) 👇

中文

9.4K

Cos(余弦)😶‍🌫️ retweetledi

Gracy Chen @Bitget@GracyBitget·1d

AI is so powerful that it doesn’t just scale efficiency. It also scales mistakes faster than humans can react. That’s why @Bitget worked with @SlowMist_Team on this report to help us better understand the risks and how to safely manage our AI agents. So let's give it a read and stay SAFU in the AI era together 💪

SlowMist@SlowMist_Team

🚨 AI is trading for you now. But is your money safe? Proud to collaborate with @bitget, @Bitget_zh on our latest research: #AI Agents> 🎉🎉 ⚠️ Prompt injection can hijack trading decisions 🔌Malicious plugins can steal your data & keys 🔑Leaked API = full account execution access 🤖One wrong autonomous action = real asset loss In #Web3, mistakes are irreversible. Protect your funds before it’s too late. We present a 5-layer security framework + practical checklists for users & devs. 🛡️ Dive in 👉 slowmist.medium.com/slowmist-bitge…

English

14K

Cos(余弦)😶‍🌫️ retweetledi

SlowMist@SlowMist_Team·1d

🦞 Following our previous v2.7 release, OpenClaw Security Practice Guide v2.8 Beta is now live. ⤴️ v2.8 Beta has been validated through hundreds of hours in production, but is still actively evolving. It now covers the latest models including #Gemini / #Opus / #Kimi / #MiniMax / #GPT. 👉 v2.7 remains the stable version — use v2.8 if you want the latest enhancements: github.com/slowmist/openc… Key upgrades vs v2.7: 🤖 Agent-assisted deployment workflow (5-step automation) 🛡️ --light-context Cron anti-hijacking 📝 Hardened inspection script standards 📂 Persistent reports at $OC/security-reports/ + 30-day rotation 🔄 Post-upgrade baseline rebuild process 🔍 Enhanced code audit protocol ⚡ Token optimization (pre-filter in Bash before LLM) 🧠 7 real-world lessons learned (timeouts, model choice, false positives, etc.) ⚠️ Please read the README carefully before use.

SlowMist@SlowMist_Team

⚠️ Running an AI Agent like @openclaw with root/terminal access is powerful but inherently risky. How do we ensure controllable risk and auditable operations without sacrificing capability? Recently, we released the OpenClaw Security Practice Guide — a structured defense matrix designed for high-privilege autonomous agents running in Linux Root environments. cc @evilcos 📖GitHub Version: 👉github.com/slowmist/openc… 🛡️ 3-Tier Defense Matrix 🔹Pre-action — Behavior blacklists & strict Skill installation audit protocols (Anti-Supply Chain Poisoning) 🔹In-action — Permission narrowing & Cross-Skill Pre-flight Checks (Business Risk Control) 🔹Post-action — Nightly automated explicit audits (13 core metrics) & Brain Git disaster recovery 🛠️ Built around four core principles: • Zero-friction operations • High-risk requires confirmation • Explicit nightly auditing • Zero-Trust by default 🚀 Zero-Friction Flow: 1️⃣ Drop the guide directly into your #OpenClaw chat 2️⃣ Ask the Agent to evaluate reliability 3️⃣ Instruct it to deploy the full defense matrix 4️⃣ Use the Red Teaming Guide to simulate an attack and ensure the Agent correctly interrupts the operation 🚨 Honest limitation: this guide is intended for human operators and AI Agents with foundational Linux system administration capabilities, and is particularly designed for OpenClaw operating in high-privilege environments. As AI models and their underlying service environments vary, the security measures provided in this guide are for defensive reference only. Final responsibility always remains with the human operator. Please assess and execute cautiously based on your own environment and capabilities. 🤝 If you have new findings, lessons learned, or improvement suggestions from real-world deployment, we welcome you to share them with the community via Contributions, Issues, or Feature Requests. Special thanks to @leixing0309 for the professional contribution. As we continue unlocking #AI capability, may we remain vigilant and clear-headed about risk.🫡

English

8.9K

Cos(余弦)😶‍🌫️@evilcos·1d

@another_dayu 我给它的设定就是简约，别废话

中文

706

Dayu@another_dayu·1d

@evilcos 有设个性化吗？背景提示词越复杂，记忆的东西越多，它废话就越多。

中文

754

Cos(余弦)😶‍🌫️@evilcos·2d

OpenAI 的 openai-codex/gpt-5.4 模型真的特别多废话，且固执，受不了了。

中文

133

43.5K

Cos(余弦)😶‍🌫️@evilcos·2d

@JasonLoong666 @SlowMist_Team @MistTrack_io 日哥是指 @sunwear_cn ？

日本語

133

X_0_0_X@JasonLoong666·2d

@evilcos @SlowMist_Team @MistTrack_io 大佬你是日哥团队的吗

中文

221

Cos(余弦)😶‍🌫️@evilcos·2d

一个群体被黑事件正在发生，黑客地址： 0x913efc2062984288a0a083cd42b3a3422c07fcef 目前累计获利 $85K，还在持续增加。从社区反馈来看，这个群体主要属于薅羊毛玩家，私钥/助记词被黑客提前采集走了。黑客正在归集相关资金。如果你在用 MoreLogin，务必注意这条信息，但目前我们没有证据一定是 MoreLogin 或相关插件出问题。如果你是被盗用户，评论区可以反馈你在用的指纹浏览器，安装了哪些插件，被盗资金放在哪个钱包插件里等信息。越全面越好，利于排查。

作业借你抄@chaozuoye

Morelogin 指纹浏览器出事了，目前掏了6万刀有资产的速度转移！这件事拜托余弦老师关注一下 @evilcos 黑客地址： 0x913efc2062984288a0a083cd42b3a3422c07fcef 围观：debank.com/profile/0x913e…

中文

140

109.6K

Cos(余弦)😶‍🌫️ retweetledi

23pds (山哥)@im23pds·2d

🧐目前还在调查中大家一看有慢雾审计…冲…搞的我们压力很大，大家要看审计报告内容。有进展随时给大家同步

MoreLoginCN@MoreloginCN

目前针对累积收集到的76 个用户的被盗反馈，进行分析。进展如下 1. 安装版本离散分布，通过对比客户使用的客户端版与官方客户端Hash ，结果无异常，排除客户端问题。 2. 88%的被盗用户（67 人）未开启插件同步，插件数据均保存在客户本地，排除数据存储服务器被入侵的可能。我们已经跟 @SlowMist_Team 取得联系，目前正在一起联合调查，有进展会进一步更新。同时强烈建议大家不要在浏览器中存放大额加密货币。

中文

10.9K

Cos(余弦)😶‍🌫️ retweetledi

Web3Caff | 研报已上新!@Web3Caff_com·2d

随着大模型技术的快速发展，AI Agent 正在从简单的智能助手逐渐演变为能够自主执行任务的自动化系统。在 Web3 生态中，这一变化表现得尤为明显。@SlowMist_Team 与 Bitget 将为你从安全研究与交易平台实践两个角度，对 AI Agent 在多个场景中的安全问题进行系统梳理。 web3caff.com/archives/134751

中文

3.4K

Cos(余弦)😶‍🌫️@evilcos·2d

@web3gemini @star_okx @wallet @SlowMist_Team 没有避讳，见之前说法

Cos(余弦)😶‍🌫️@evilcos

不少人来问慢雾审计这款指纹浏览器的事，详细报告在这： github.com/slowmist/Knowl… 注意看报告里的审计日期是去年 10 月，审计的版本 macOS 及 Windows 都是 1.1.99，当时发现了 22 个安全问题基本处理了，分别在 1.2.1 及 1.2.2 修复。没有做白盒，做的是黑灰盒审计，所以一些可能的中心化风险难以发现，另外，后续版本是否有安全问题我们也没法验证。安全是件严肃的事，我们不希望看到社区玩家这样的安全营销说法（官方也赞同我们这种态度）。我们对我们审计的版本及范围负责（具体可以阅读审计报告），但我们真没办法给这些朋友说：对对对，赶紧冲赶紧用，慢雾在，你们就放心吧！放心？在这个黑暗森林里，安全如履薄冰、如临深渊，我他娘的自己就没放心过任何事物…

中文

117

Gemini.eth@web3gemini·2d

@evilcos @star_okx @wallet @SlowMist_Team Morelogin也是你们做的安全审计

中文

Star_OKX@star_okx·4d

@wallet 安全团队已经完成调查，原文将其描述为“OKX 钱包漏洞”并不准确。需要澄清两点： 1️⃣ 该事件并不是 OKX Web3 钱包的安全漏洞。攻击方式是黑客通过木马软件控制用户设备后，通过篡改网页 JS 代码植入 hook，或监听键盘输入等方式，窃取本地存储的加密文件和密码。 2️⃣ OKX Web3 钱包是 100% 自托管钱包。私钥和密码只存在于用户自己的设备上，OKX 无法访问或控制用户资产。但如果用户设备本身已经被黑客控制，那么任何钱包——包括 MetaMask 在内——都无法保证安全。这就像小偷已经能够操作你的电脑，并看到你所有的键盘输入一样。用户设备安全始终是自托管体系中的关键一环。建议用户避免安装来源不明的软件或插件，定期检查设备安全，并妥善保护助记词和私钥。

GcG@NuyOahIIIa

文章揭露了武汉安隼科技团队利用OKX钱包插件漏洞实施的黑客攻击事件。该团队通过插件投毒技术控制大量用户终端，窃取助记词并远程转移数字资产，涉案金额达700万美金。文中详述了其作案手法：一是开发自动化工具快速分析海量助记词价值；二是破解跨设备数据还原机制，通过获取CPU特征值绕过密码验证。事件暴露出Web3钱包生态的安全隐患，提醒用户谨慎授权插件权限，定期更换助记词，并警惕异常登录行为。 @okxchinese @wallet @star_okx @TrustWallet 感觉怎么有点不想OK的事儿，是币安的事儿啊，供应链投毒，700w美金，时间线4个月前 @cz_binance @heyibinance 具体投稿人发布在公众号，有兴趣了解详情可查看mp.weixin.qq.com/s/D6v6w3XSgi4G…

中文

188

176.6K

Cos(余弦)😶‍🌫️@evilcos·2d

@landiantech 🤣

QME

2.6K