ハイジャック

Cointelegraphの報道によると、ビットコイン記者のJoe Nakamotoは、世界の約70％の暗号通貨保有者およびその家族に対する暴力的な誘拐事件（wrench attack）がフランスで発生していると述べています。2026年までに、フランスでは41件の暗号通貨関連の誘拐事件が発生しており、平均して2.5日に1件のペースで起こっています。NakamotoはこれをKYC（顧客を知る）データの集中化された保存に起因しているとしています。2020年にハードウェアウォレットメーカーのLedgerで発生したデータ漏洩事件では、27万人以上のユーザーの個人情報、住所、電子メールが流出し、不正行為者に正確な攻撃ターゲットを提供しました。CasaのCEOであるJameson Loppは、「フランスは炭鉱のカナリアであり、金融規制によって構築された監視システムがどのようにビットコイン保有者に直接的な被害をもたらすかを明らかにしています。」と述べています。このような脅威に対して、業界では保有者に安全機能を備えたホスティングサービスの利用を推奨しており、攻撃を受けた際に資産の凍結をトリガーし、法執行機関に通知することができます。また、少額の資金を保有する「おとり」ウォレットを用意し、公共の場では控えめにして、保有情報を露呈しないようにすることを勧めています。

CoW DAO は発表し、ドメイン登録業者が 4 月 14 日にソーシャルエンジニアリング攻撃を受け、攻撃者が公式ドメインを約 4.5 時間一時的に制御し、その間にユーザーをフィッシングサイトに誘導して悪意のある取引に署名させたことを明らかにしました。プロジェクト側は、CoW Protocol 自体は侵害されていないが、一部のユーザー資産がその時間帯に影響を受けたと強調しています。この事件に対処するため、CoW DAO コミュニティガバナンス提案 CIP-86 が承認され、影響を受けたユーザーの損失を補償するための裁量補償基金を設立することが決定されました。公式は、条件を満たすユーザーは 5 月 14 日までに申請を提出する必要があり、必要な資料には影響を受けたウォレットアドレス、資産情報、取引ハッシュ、および名前が含まれ、メールアドレス [email protected] を通じて申請する必要があります。メールの件名には「Discretionary Grant Claim for」と明記する必要があります。

The Blockの報道によると、イーサリアムネームサービス（ENS）ゲートウェイeth.limoは先週の金曜日の夜にDNSハイジャック攻撃を受けました。このプロジェクトは土曜日に事後分析報告を発表し、今回の攻撃をドメイン登録業者EasyDNSに対するソーシャルエンジニアリング攻撃に遡りました。eth.limoは、DNSSEC検証が攻撃者のドメインサーバーの変更を拒否したと述べており、現在のところ実際に影響を受けたユーザーはいないとしています。最近の暗号前端がDNS層で何度も攻撃を受けた状況に対処するために、eth.limoはEasyDNS傘下のより厳格なセキュリティサービスに移行する計画を立てており、このサービスはアカウント復元機能をサポートしなくなります。EasyDNSのCEOであるMark Jeftovicは、この脆弱性を公に認め、これは彼らの28年の歴史の中で初めて顧客に対して成功したソーシャルエンジニアリング攻撃であると述べました。

DeFi貸出プロトコルHypurrFiがセキュリティ警告を発表し、ウェブサイトのドメイン名が侵害されたと述べ、潜在的なドメインハイジャック事件を調査中であることを明らかにしました。プロジェクトチームは「hypurr.fiドメインを使用しないでください」と明言し、ユーザーに対してさらなる通知があるまでプラットフォームとの相互作用を避けるように警告しています。チームは同時に、現在ユーザーの資金にはリスクがないこと、公式のソーシャルメディアは依然として管理下にあることを強調しています。HypurrFiはHyperEVM上で運営されており、総ロック価値は約3000万ドルです。分析によると、ドメインハイジャックは暗号業界で一般的な攻撃手法の一つであり、攻撃者は通常、フロントエンドページを制御して悪意のあるコードやウォレット盗難プログラムを埋め込むことで、基盤となるスマートコントラクト自体が安全であっても、ユーザーは資産リスクに直面する可能性があります。

DeFiプロジェクトSteakhouse Financialは、昨日OVH Cloudに対する電話社会工学攻撃を受けたことを発表しました。攻撃者はメインサイトとアプリのサブドメインのDNS Aレコードを悪意のあるIPに変更し、5日間のドメイン移転を試みました。現在、関連する変更は撤回され、DNSレコードはクリアされ、OVHと協力して解決に向けています。すべての金庫と契約は影響を受けておらず、預金者の資金は安全で、他のサービスアカウントは侵害されていません。問題が解決するまで、公式サイトやメールとのやり取りは行わないでください。詳細な事後報告はできるだけ早く発表されます。今朝、Steakhouse Financialは、公式サイトのドメインDNSレコードがクリアされている間、金庫はMorphoを通じて直接アクセス可能であり、預金、引き出しなどすべての機能が正常であることを報告しました。フロントエンドが復旧した後、別途確認されます。

ハッカーはGoogle Playストアを模倣したフィッシングページを通じて、ブラジルでAndroidマルウェア攻撃を開始しました。現在、すべての既知の被害者はブラジルにいます。攻撃者はGoogle Playに非常に似たフィッシングサイトを構築し、ユーザーに「INSS Reembolso」という偽のアプリをダウンロードさせるように誘導しました。このアプリがインストールされると、段階的に隠された悪意のあるコードが解放され、直接メモリにロードされて実行され、デバイス上に可視ファイルを残さず、非常に高い隠蔽性を持っています。マルウェアの主要な機能の一つは暗号通貨のマイニングであり、ARMデバイス用にコンパイルされたXMRigマイニングプログラムが内蔵されており、バックグラウンドで静かに攻撃者が制御するマイニングサーバーに接続します。このプログラムはバッテリー残量、温度、デバイスの使用状況を監視し、検出を回避するためにマイニングの動作を動的に調整し、静音の音声ファイルをループ再生することでAndroidシステムのバックグラウンドプロセス管理メカニズムを回避します。一部の亜種は銀行トロイの木馬も内蔵しており、BinanceやTrust WalletのUSDT送金画面に偽のページを重ねて静かに受取先アドレスを置き換えます。さらに、マルウェアは録音、スクリーンショット、キーボード記録、リモートロックなどの多くのリモートコントロール命令をサポートしています。

ネットワークセキュリティ機関 Moonlock Lab は、暗号ハッカーが最近「ClickFix」攻撃手法をアップグレードし、リスク投資機関を装ってソーシャルプラットフォームを通じてターゲットユーザーに接触し、悪意のあるコードを実行させて暗号資産を盗むことを報告しました。攻撃者は、SolidBit、MegaBit、Lumax Capital などの偽のベンチャーキャピタル機関を装い、LinkedIn を通じて協力の招待を送り、被害者を偽の Zoom または Google Meet 会議リンクに誘導します。ページには偽の Cloudflare「私はロボットではありません」検証ボタンが埋め込まれており、クリックすると悪意のあるコマンドがクリップボードにコピーされ、ユーザーがターミナルに貼り付けて実行するように誘導され、攻撃が完了します。研究者は、この方法が「被害者自身にコマンドを実行させる」ことで従来のセキュリティ防護機構を回避していると指摘しています。一方、ハッカーはブラウザ拡張機能をハイジャックして攻撃を実施しています。ネットワークセキュリティ会社 Annex Security の創設者 John Tuckner は、Chrome プラグイン QuickLens が 2 月 1 日に所有権を変更した後、2 週間後に悪意のあるスクリプトを含む新しいバージョンをリリースし、ClickFix 攻撃を引き起こしてユーザーデータを盗んだことを明らかにしました。このプラグインは約 7,000 人のユーザーがいて、現在はストアから削除されています。報告によると、ハイジャックされた拡張機能は暗号ウォレットのデータやリカバリーフレーズをスキャンし、Gmail の内容、YouTube チャンネルのデータ、ウェブログインや支払い情報を取得します。

据 Cointelegraph 报道，黑客正利用 "ClickFix" 攻击手法窃取加密货币，最新两起攻击涉及冒充风险投资公司和劫持浏览器扩展程序。ネットセキュリティ会社 Moonlock Lab の報告によると、詐欺師は SolidBit、MegaBit、Lumax Capital などの偽の VC を装い、LinkedIn を通じてユーザーに協力の機会を提供し、偽の Zoom や Google Meet のリンクをクリックさせるように誘導しています。リンクをクリックすると、ユーザーは偽の Cloudflare "私はロボットではありません" 認証ボックスを含むページに誘導され、そのボックスをクリックすると悪意のあるコマンドがクリップボードにコピーされ、ユーザーにターミナルを開いていわゆる確認コードを貼り付けるように促され、攻撃が実行されます。Moonlock Lab は、この手法が被害者を実行メカニズムにし、セキュリティ業界の防御策を回避することを指摘しています。一方で、ハッカーは Chrome 拡張機能 QuickLens をハイジャックしてマルウェアを拡散しています。この拡張機能は、ユーザーがブラウザ内で直接 Google Lens 検索を実行できるようにし、所有権が譲渡された後の新しいバージョンには悪意のあるスクリプトが含まれており、ClickFix 攻撃を開始して情報を盗むことができます。この拡張機能は約 7000 人のユーザーがいて、ハイジャックされた後は暗号ウォレットのデータやリカバリーフレーズを検索して資金を盗むほか、Gmail の受信箱の内容、YouTube チャンネルのデータ、ウェブフォームに入力されたログイン資格情報や支払い情報を取得します。この拡張機能は Chrome ウェブストアから削除されました。ClickFix 技術は昨年からハッカーの間で流行しており、被害者に悪意のあるペイロードを手動で実行させ、世界中の数千の企業や複数の業界に影響を与えています。

RWA トークン化プラットフォーム OpenEden は X プラットフォームで、公式ウェブサイトのドメインおよびそのサブドメインの DNS コントロールを全面的に回復したと発表し、プラットフォームの運営が正常に戻ったことを報告しました。OpenEden は、公式ウェブサイトが DNS レベルで未承認のレコード変更に遭遇し、ドメインがハイジャックされたことを示しています。セキュリティパートナーおよびインフラサービスプロバイダーとの共同調査の結果、今回の事件はどのスマートコントラクトにも影響を与えず、内部システムは侵害されておらず、コアアプリケーションは完全な状態を保っており、準備資産にも影響はなく、すべての準備資産は Chainlink の準備証明（Proof of Reserve）を通じて独立して検証可能であると述べ、ドメインおよびインフラのセキュリティ対策を強化することを約束しました。

据慢雾余弦披露，部分用户可能未收到 Monad 空投，建议检查此前在空投领取页面 claim.monad.xyz 绑定的钱包地址是否为预期地址。余弦表示，如果绑定地址并非用户预期，可能遭遇了与用户 Onefly（@Onefly）类似的问题------钱包地址被黑客绑定为黑客地址，导致官方将空投发放给了黑客。据余弦透露，此前有白帽黑客曾向其同步过一个相关漏洞，该漏洞存在前置条件：如果有人劫持了用户在 Monad 空投领取页面的会话，可以在无需进一步确认的情况下更改领取钱包地址。

据 Aerodrome の発表によると、この協定は以前に発生したドメインハイジャック攻撃に遭遇し、攻撃は4時間以内に完全に緩和され、ユーザーの損失は約70万ドルに達しました。報告によれば、最初の悪意のある取引が発見されてから2分以内に、MetaMaskやCoinbase Walletなどの主要なウォレットが警告を表示し始めました。損失は、悪意のあるウェブサイトが活動している間に接続し、取引に署名したユーザーに限定されています。現在、チームはセキュリティコンサルタントや企業登録業者と協力しており、ドメインは来週に移転し再開される予定です。さらに、AeroとVelo財団は、影響を受けたユーザーに損失に比例した補助金を提供する計画を策定しています。

Base エコシステム DEX Aerodrome は、X プラットフォームで公式に発表し、チームが潜在的な DNS ハイジャック事件を調査していることを示しています。ウェブサイトの主要ドメインを使用しないでください。現在、調査中です。

DeFi プロトコル Balancer は現在攻撃を受けており、複数のチェーンでの損失は 1.166 億ドルを超え、Balancer に対する攻撃は続いています。オンチェーン AI 分析ツール CoinBob によると、Balancer の歴年のセキュリティ事件は以下の通りです：2020 年 6 月 フラッシュローン攻撃：攻撃者はデフレ型トークン（STA/STONK）と Balancer スマートコントラクトの互換性の問題を利用し、swapExactAmountIn を繰り返し呼び出して流動性プールを空にし、最終的に 52.36 万ドルを獲得しました。2023 年 8 月 V2 プールの脆弱性：Balancer V2 プールはコードの脆弱性により複数回のフラッシュローン攻撃を受け、総損失は 210 万ドルに達しました。チームは影響を受けたプールを緊急停止し、ユーザーに資金の引き出しを推奨しましたが、一部の資金はタイムリーに引き出されず、依然として利用されました。2023 年 9 月 フロントエンドハイジャック攻撃：ハッカーは BGP/DNS ハイジャックを通じて Balancer のフロントエンドを制御し、ユーザーに悪意のあるコントラクトを承認させ、23.8 万ドルの損失を引き起こしました。オンチェーン探偵 ZachXBT は資金の流れをアドレス 0x645710Af050E26bB96e295bdfB75B4a878088d7E に追跡しました。2023 年 Euler イベントの影響：Euler Finance の脆弱性により Balancer の bbeUSD プールが 1190 万ドルの損失を被り、プールの TVL の 65% を占めました。チームは流動性の引き出しを制限する保護措置を講じました。2024 年 Velocore 攻撃の関連：Velocore の脆弱性を利用した Balancer スタイルの CPMM プールに関連し、680 万ドルの損失を引き起こしました。Balancer の技術アーキテクチャはクロスプロトコル統合により間接的に巻き込まれました。

ChainCatcher のメッセージ、暗号通貨開発者 Zak Cole が明らかにしたところによると、新しいフィッシング攻撃が暗号コミュニティのメンバーの X（旧 Twitter）アカウントを標的にしています。この攻撃は、Google Calendar アプリの承認要求を装い、ユーザーに完全なアカウント制御権限を付与させるものです。攻撃者は X プラットフォームのアプリ承認メカニズムを利用し、パスワードや二要素認証を完全に回避することができます。MetaMask のセキュリティ研究者は、この攻撃が実際に発生していることを確認しました。ユーザーには、X の接続されたアプリページにアクセスし、アカウントの安全を確保するために疑わしい「Calendar」アプリの承認を確認し、取り消すことをお勧めします。

ChainCatcher のメッセージによると、Scam Sniffer が明らかにしたところによれば、Kiloex プロジェクトの Discord 招待リンク discord.gg/kiloex は期限切れで、詐欺師によって悪意を持って乗っ取られています。現在、Coingecko と CoinMarketCap に掲載されているプロジェクトの情報は、依然として乗っ取られた招待アドレスにリンクされています。また、Kiloex の過去のツイートにもこの悪意のあるリンクが含まれています。報告によれば、すでにユーザーがこのために資産を失っているとのことです。攻撃者はフィッシング署名を通じてユーザーの資産を盗み、偽の「Collab Land」ボットを利用して詐欺を実行しています。Kiloex の他にも、Verisense Network などの複数のプロジェクトの Discord 招待リンクも同様の攻撃を受けています。詐欺師は、期限切れのカスタム招待リンクを体系的に占有し、プロジェクトの文書、ウェブサイト、過去のツイートにある古いリンクを攻撃ツールに変換しています。

ChainCatcher のメッセージによると、Decrypt が報じたところでは、アメリカのネブラスカ州の男性チャールズ・O・パークス III（ネット名「CP3O」）が、350 万ドルの違法な「暗号ハイジャック」計画を企てたとして、1 年と 1 日の懲役刑を言い渡されました。彼はクラウドコンピューティングリソースを盗んで違法にマイニングを行い、約 100 万ドルの利益を上げ、その資金で高級品を購入しました。パークスは 50 万ドルの罰金とメルセデス・ベンツを支払っており、賠償金は未定です。彼は教育プラットフォームに偽装してクラウドサービスプロバイダーから計算リソースを騙し取り、イーサリアム、ライトコイン、モネロをマイニングし、取引所や銀行を通じてマネーロンダリングを行っていたとされています。

ChainCatcher のメッセージによると、Cointelegraph が報じたところでは、ウクライナの警察は最近、35歳の男性を逮捕し、大規模な暗号ハッキング活動を行ったとして告発しました。警察の声明によると、この男性は2018年から国際ホスティング会社の5000以上の顧客アカウントに侵入し、無断でそのサーバーリソースを使用して暗号通貨のマイニングを行い、会社に約440万ドルの損失を与えました。警察は容疑者の住居の捜索中に複数のコンピュータ機器、携帯電話、銀行カード、暗号財布、ハッキングソフトウェアを発見しました。現在、容疑者は無断で電子情報ネットワークの操作を妨害したとして告発されており、最高で15年の懲役刑が科される可能性があります。事件の調査はまだ進行中です。

ChainCatcher のメッセージ、Curve が DNS ハイジャックに関する最新の進展を発表しました：レジストラは curve[.]fi を正常に凍結しました（このドメインは現在使用できず、フィッシング攻撃は停止しました）。ユーザーは以下のドメインにアクセスできます：curve.finance。

ChainCatcher のメッセージ、SlowMist の創設者である余弦が投稿し、Curve の現在の DNS ハイジャック問題は未解決であり、背後の攻撃者は偽のウォレットポップアップを通じてリカバリーフレーズをフィッシングしており、攻撃手法はさらに巧妙になっていると述べています。今回の問題は再びドメインサービスプロバイダー iwantmyname に向けられており、このサービスプロバイダーは 2022 年にも類似の事件を引き起こしています。

ChainCatcher のメッセージによると、Cointelegraph が報じたところによれば、DeFi プロトコル Curve Finance が緊急警告を発表しました。公式ウェブサイト curve.fi が DNS ハイジャック攻撃を受け、ユーザーがアクセスすると悪意のあるフィッシングサイトに誘導される可能性があります。これは、5 月 5 日に公式 X アカウントがハッキングされた後、1 週間以内にこのプラットフォームが受けた二度目のセキュリティ脅威です。ブロックチェーンセキュリティ会社 Blockaid の検出によると、攻撃者は DNS 解決記録を改ざんすることによってフロントエンド攻撃を実施した可能性があり、ユーザーにはすべての取引署名操作を直ちに停止することを推奨しています。現在、Curve チームはドメイン登録業者に緊急対応を依頼しており、スマートコントラクトには影響がないことを確認していますが、ユーザーにはプラットフォームとのインタラクションにおいて資産が盗まれるリスクが依然として存在することを警告しています。