セキュリティ脆弱性

Zcash財団は、共識レベルのセキュリティ脆弱性を修正するためにZebra 4.5.1バージョンの更新を発表し、すべてのノードオペレーターに即座にアップグレードすることを強く推奨しています。この脆弱性の番号はGHSA-2prc-cj5x-4443で、P2SHトランザクションにおけるsigop（署名操作数）カウントの誤りに関連しており、潜在的なコンセンサスフォークのリスクを引き起こす可能性があります。この修正は、昨日リリースされた4.5.0バージョンでの不完全な修正を訂正するものです。Zcash開発チームは、問題がsigopカウントロジックの異なる実装間の偏差に起因していることを示しており、これによりノードがトランザクションを検証する際に異なる結果を生成し、チェーン上のコンセンサスの一貫性に影響を与える可能性があると述べています。修正案は、Rust実装ロジックをロールバックし調整することで、プロトコルの期待される動作と一致させることを確保しています。Zcash財団は、現在この問題を回避する解決策は存在せず、4.5.1へのアップグレードがノードが正しいチェーンに留まり、潜在的なフォークリスクを回避する唯一の方法であると強調しています。

Zcash財団は公式にZebra 4.4.0バージョンのリリースを発表しました。この更新では、複数のコンセンサスレベルの重要なセキュリティ脆弱性が修正されており、すべてのノードオペレーターに対して直ちにアップグレードすることを強く推奨しています。これには、新しいブロックの発見が永久に停止する可能性のあるサービス拒否脆弱性、ブロック署名操作（sigops）カウントエラーによるコンセンサスの不一致、透明な取引署名ハッシュ処理の異常、メモリ割り当ての増幅攻撃リスクなどが含まれます。Zcash財団は、これらの脆弱性の一部がZebraノードがzcashdによって拒否されたブロックを受け入れる原因となり、チェーンフォークを引き起こす可能性があると述べています。適時に更新しない場合、ノードはブロック発見の中断、コンセンサスの分岐、リソース消費の増大などのリスクに直面する可能性があり、現在代替的な緩和策は存在しません。

ブロックチェーンセキュリティ機関CertiKの監視によると、Wasabi Protocolに安全性の脆弱性が発生し、現在約290万ドルの資金が盗まれています。初期調査では、攻撃者がWasabiのデプロイされたウォレットを侵害し、特権的な役割を取得して攻撃を実施したことが示されています。盗まれた資金は現在、以下のアドレスに分散して保存されています：0xb8Bb...70dB（約67.7万ドル）および0x6244...f906（約110万ドル）、事件は現在も調査中です。

CoinDeskによると、カリフォルニア大学サンタバーバラ校、カリフォルニア大学サンディエゴ校、ブロックチェーンセキュリティ会社Fuzzland、World Liberty Financialの研究者たちが共同で論文を発表し、「LLMルーター」------ユーザーとAIモデルの間に位置する中間サービス------が暗号資産のセキュリティに重大な脅威となっていると警告しています。研究者たちは、26のLLMルーターが秘密裏に悪意のあるツール呼び出しを注入し、ユーザーの認証情報を盗んでいることを発見しました。そのうちの1件では、顧客の価値50万ドルの暗号ウォレットが空にされました。さらに、研究者たちは「汚染」ルーターエコシステムを通じて、数時間以内に約400台の下流ホストを制御できることを示しました。プライベートキーやAPI認証情報などの敏感なデータがこれらのルーターを介して平文で送信されるため、ユーザーは実際には何も知らずに資産をリスクにさらしています。研究者たちは、マッキンゼーが2030年までにAIエージェントが3兆から5兆ドルのグローバル消費ビジネスを仲介すると予測しているのに対し、バイナンスの創設者であるジャオ・チャンポンもAIエージェントの支払い量が人間の百万倍になると予測していると指摘しています。現在のインフラのセキュリティは業界の発展速度に大きく遅れをとっており、「最も弱い環」となるリスクがシステム的な連鎖危機を引き起こす可能性があります。

OKXの創設者兼CEOのStarは、「武漢安隼科技チームによるプラグインの脆弱性を利用したハッキング事件」に関して発表し、「OKX Walletのセキュリティチームは調査を完了しました。原文で『OKXウォレットの脆弱性』と表現されているのは正確ではありません。以下の2点を明確にする必要があります：この事件はOKX Web3ウォレットのセキュリティ脆弱性ではありません。攻撃手法は、ハッカーがトロイの木馬ソフトウェアを通じてユーザーのデバイスを制御し、ウェブページのJSコードを改ざんしてhookを埋め込むか、キーボード入力を監視するなどの方法で、ローカルに保存された暗号ファイルやパスワードを盗むことです。OKX Web3ウォレットは100%自己管理型ウォレットです。秘密鍵とパスワードはユーザー自身のデバイスにのみ存在し、OKXはユーザーの資産にアクセスしたり制御したりすることはできません。しかし、ユーザーのデバイス自体がすでにハッカーに制御されている場合、MetaMaskを含むどのウォレットも安全を保証することはできません。これは、泥棒がすでにあなたのコンピュータを操作し、すべてのキーボード入力を見ているようなものです。ユーザーには、出所不明のソフトウェアやプラグインのインストールを避け、定期的にデバイスのセキュリティを確認し、リカバリーフレーズや秘密鍵を適切に保護することをお勧めします。」報道によると、武漢安隼科技チームは多数のユーザー端末を制御し、リカバリーフレーズを盗み、デジタル資産を遠隔で移転させ、関与した金額は700万ドルに達しています。

OpenClaw の創設者ピーター・スタインバーガーは、GitHub のセキュリティ脆弱性報告プロセスに多くの問題があると批判する投稿をしました。彼は、現在の脆弱性報告が管理者のみのアクセス権を持っているため、チーム内での効果的な配布と協力処理が難しいと指摘しました。さらに、GitHub の脆弱性報告に関しては API 機能が不足しており、自動化エージェントを通じてコメントを読み取ったり公開したりすることができないため、セキュリティ対応プロセスの自動化能力が制限されています。ピーター・スタインバーガーは、現在の脆弱性報告には大量の AI 生成の低品質なコンテンツが含まれており、選別に数時間を費やす必要があると特に指摘し、セキュリティ処理作業の負担がさらに増加していることを強調しました。

据 Goplus 监测，NFT 流动性交易平台 gondixyz 因漏洞遭到入侵，导致多个 NFT 被盗，估计损失约为 23 万美元。gondixyz 公式は、チームが安全を確認するまで、ローンの返済を行わないようにと述べています。ユーザーには、影響を受けた契約の承認を Revoke cash を通じて直ちに取り消すことを推奨し、プラットフォーム上で新しい活動を開始しないようにお願いします。

イーサリアムの共同創設者であるVitalik Buterinは今週の木曜日に「量子ロードマップ」を発表し、ブロックチェーンの量子セキュリティの脆弱性に対する複数の改善案を提案しました。これには、ハッシュ署名、再帰的STARKs、ネイティブアカウント抽象化、プロトコル層の署名集約などの技術アップグレードが含まれ、核心的な目標は現在存在する量子リスクのあるECDSA暗号アーキテクチャを置き換えることです。その中で、「frame transactions」案は、2026年下半期にリリース予定のイーサリアムのアップグレード版Hegotaの議題に組み込まれており、年内に実現する見込みです。Vitalikは昨年11月に、量子コンピュータが2028年までにイーサリアムの既存のセキュリティモデルを破る可能性があると警告しました。イーサリアム財団は特別なポスト量子チームを設立し、100万ドルの賞金を設定し、隔週技術セミナーを開始しました。研究者のJustin Drakeは、高度に分散化されたエコシステムの中で、拘束力のある「公式ロードマップ」を策定することは実際には不可能であると強調しました。

据慢雾科技首席信息安全官 23pds 披露，Linux 平台的 Snap Store 应用商店出现新型安全漏洞，黑客通过劫持过期域名接管应用发布者账号，将恶意代码植入加密钱包应用。攻撃者は Snap Store において関連するドメインが期限切れの開発者アカウントを監視し、登録し、これらのドメインのメールアドレスを利用してパスワードリセットをトリガーし、長期的な信頼を築いた発行者のアイデンティティを乗っ取ります。改ざんされたアプリは Exodus、Ledger Live、または Trust Wallet などの有名な暗号財布を装い、インターフェースは正規版とほぼ変わりません。現在、storewise[.]tech と vagueentertainment[.]com の2つの発行者ドメインが乗っ取られたことが確認されています。これらの悪意のあるアプリはユーザーに「ウォレットの復元フレーズ」を入力させるよう誘導し、一旦ユーザーが提出すると、敏感な情報が攻撃者のサーバーに送信され、デジタル資産が盗まれることになります。

据 The Hacker News 报道，Cyata 研究员披露 Anthropic 维护的 mcp-server-git 存在三项严重安全漏洞（CVE-2025-68143/44/45），可被利用执行路径穿越与参数注入，甚至实现远程代码执行。这些漏洞可通过提示注入被武器化，攻击者仅需控制 AI 助手读取恶意内容即可触发攻击。漏洞已在 2025 年 9 月与 12 月版本中修复，官方已移除 git_init 工具并增强路径校验，建议用户尽快更新至最新版。

Anthropic が管理する公式 mcp-server-git に 3 つのセキュリティ脆弱性が発見されました。これらの脆弱性は、プロンプトインジェクション攻撃手法を通じて悪用される可能性があり、攻撃者は被害者のシステムに直接アクセスすることなく、悪意のある README ファイルや損なわれたウェブページを介して脆弱性を引き起こすことができます。これらの脆弱性には、CVE-2025-68143（制限のない git_init）、CVE-2025-68145（パス検証のバイパス）、および CVE-2025-68144（git_diff におけるパラメータインジェクション）が含まれます。これらの脆弱性をファイルシステム MCP サーバーと組み合わせて使用すると、攻撃者は任意のコードを実行したり、システムファイルを削除したり、任意のファイル内容を大規模言語モデルのコンテキストに読み込むことができます。Cyata は、mcp-server-git が repo_path パラメータに対してパス検証を行っていないため、攻撃者がシステムの任意のディレクトリに Git リポジトリを作成できると指摘しています。さらに、.git/config にクリーンアップフィルターを設定することで、攻撃者は実行権限なしにシェルコマンドを実行することができます。Anthropic は 2025 年 12 月 17 日に CVE 番号を割り当て、修正パッチを提出しました。ユーザーには mcp-server-git を 2025.12.18 以降のバージョンに更新することを推奨します。

Flow ブロックチェーンがセキュリティ脆弱性攻撃に遭い、約 390 万ドルの資産がネットワークから移転され、バリデーターは即座に調整を一時停止しました。Flow 財団は現在、バリデーター、コア開発者、およびエコシステムのパートナーと密接に協力し、ネットワークの復旧計画を策定しています。公式に確認されたところによれば、ユーザーの資金は安全で影響を受けておらず、技術的修正手順が検証中です。エコシステムの調整段階は 2-3 時間内に完了する見込みで、次のステータス更新は太平洋時間 12 月 29 日午後 6 時に発表される予定です。財団は、調整時間を延長するのはネットワークが安定して秩序ある形で復旧することを確保するためであると述べています。

据链上侦探 ZachXBT（@zachxbt）监测，Trust Wallet プラットフォームの数百名のユーザーが資金を盗まれ、損失額は少なくとも 600 万ドルに達しています。ZachXBT は、事件の責任が Trust Wallet にあると確認された場合、このプラットフォームは被害を受けたユーザーに対して補償を行う必要があるかもしれないと述べています。ChainCatcher の以前の報道によると、Trust Wallet の公式は安全警報を発表し、Trust Wallet ブラウザ拡張の 2.68 バージョンに安全上の脆弱性が存在するため、ユーザーは早急にアップグレードするように呼びかけています。

Trust Wallet 公式が安全警告を発表しました。Trust Wallet ブラウザ拡張機能の 2.68 バージョンに安全上の脆弱性が確認されました。2.68 バージョンを使用しているユーザーは、直ちにその拡張機能を無効にし、2.69 にアップグレードしてください。公式の Chrome ウェブストアリンクからアップグレードを行ってください。また、モバイル版のみを使用しているユーザーおよび他のすべてのブラウザ拡張バージョンは影響を受けません。チームはこの問題に積極的に取り組んでおり、最新の更新情報をできるだけ早く共有します。

据 The Block 报道，加密预测市场平台 Polymarket 确认，多名用户账户因第三方认证提供商的安全漏洞而遭到黑客攻击。受影响用户在社交媒体上报告，即使启用了双重认证，资金仍被清空。该问题似乎与 Magic Labs 提供的电子邮件登录服务有关，这是许多首次使用加密货币的用户常用的注册方式。Polymarket 表示已解决此安全问题，目前无持续风险，但未透露受影响用户数量及损失金额。

USPD プロトコルは公式に緊急安全警報を発表し、そのプロトコルが深刻なセキュリティ脆弱性攻撃に遭遇したことを確認しました。この攻撃により、無許可のトークンの鋳造と流動性の枯渇が引き起こされました。攻撃者は「CPIMP」と呼ばれる高度な攻撃手法を利用し、デプロイメントプロセス中に代理初期化を先行して実行し、隠れた管理者権限を取得しました。「シャドウ」をインストールしてイベントデータを操作することで、攻撃者はEtherscanを含む検証ツールを回避し、数ヶ月後に権限を利用して約9800万USPDを鋳造し、約232枚のstETHを盗みました。USPDチームは法執行機関およびセキュリティ組織と協力し、攻撃者のアドレスをマークして資金を凍結し、同時に事件をホワイトハット救助として扱う意向を示しました。もし90%の資金が返還されれば、法的措置を停止することを提案しています。

ChainCatcher のメッセージ、Web3 ソーシャルプラットフォーム UXLINK の公式発表によると、そのマルチシグウォレットにセキュリティの脆弱性が発生し、大量の暗号通貨が不正に中央集権型および分散型取引所に移転されたとのことです。チームは内部および外部のセキュリティ専門家と連携して原因を調査し、主要な取引所に連絡して疑わしい資金を凍結しました。また、警察および関連機関に通報し、今後の進展について継続的に更新していく予定です。