ホワイトハットハッカー

ホワイトハッカー f4lc0n が X プラットフォームで投稿し、Injective プロトコルにおいて、チェーン上で 5 億ドル以上の資産が直接引き出される可能性のある「深刻」な脆弱性を発見したと明らかにしましたが、プロジェクト側は彼に 5 万ドルの報酬しか提示せず、彼が計画していたこのレベルの最高上限 50 万ドルを大きく下回っています。f4lc0n は、この脆弱性により、特別な権限なしで任意のアカウントを空にできると述べました。彼は Immunefi を通じて報告を提出した後、Injective チームは翌日、脆弱性を修正するためのメインネットアップグレード投票を開始しましたが、その後の 3 か月間は「失踪」状態でした。現在、f4lc0n は報酬の金額に異議を唱えており、5 万ドルの報酬もまだ支払われていないと述べています。彼は、Injective が基準に従って報酬を支払うまで、この問題を公にし続けるために今後の脆弱性報酬収入の 10% を使うと発表しました。

据 Cointelegraph 报道，去中心化匿名彩票协议 Foom Cash 在一次安全漏洞利用中损失约 226 万美元资金，但白帽黑客及时介入帮助追回了 184 万美元（约占被盗资金的 81%）このセキュリティ事件は、Foom Cash のデプロイメントプロセスにおける重要なエラーに起因しており、具体的には Groth16 検証器の設定問題が関与しており、攻撃者がプロトコルに偽造された証明を提出できるようになりました。ハンドルネーム Duha のホワイトハッカーは脆弱性を特定し、迅速に Base チェーン上の資金を保護しました。一方、セキュリティ会社 Decurity はイーサリアム上の資金救出作業を担当しました。お礼として、Foom Cash はホワイトハッカーに 32 万ドルの報酬を支払い、Decurity に 10 万ドルのセキュリティ料金を支払いました。

Dragonfly 管理パートナーの Haseeb は X プラットフォームで Balancer の最新の追跡動向を転送し、あまり知られていないこととして、これまでに 2000 万ドル以上の Balancer ハッカー損失がホワイトハットハッカーによって回収されたと述べました。

Berachain財団はXプラットフォームで次のように発表しました：「1つのオラクルプロバイダーを除いて、ほとんどの重要なパートナーは準備が整いました。最近のStream/Elixirなどの関連問題を考慮すると、オラクルプロバイダーは過去24時間で大きな圧力を受けています。彼らは数時間以内にオンラインになる見込みです。彼らがオンラインになり、チェーンがブロックを生成し始めると、ここで最新の進捗を再度お知らせします。その間、チームは現在盗まれたBEX資金を保有しているホワイトハッカーから提供された事前署名取引を検証し、受け取りました。チェーンが再びブロックを生成し始めると、これらの取引は「ホワイトハット」側が何も操作することなく、BEX資金を「ホワイトハット」側から財団のデプロイ者ウォレットに移転することができます。資金を回収できれば、コミュニティに最新の状況をお知らせします。私たちはエコシステムの正常な運営を回復する最終段階にあり、安全を確保するために最大限の努力をしています。」

Berachain は X プラットフォームで、ハードフォークアップグレードファイルが配布され、多くの検証ノードがアップグレードされたと発表しました。チェーン上での運用に必要なコアインフラストラクチャパートナー（例えば、清算オラクル）が RPC を更新することを確保することを望んでいます。現在、これはチェーン上での運用を回復するための主要な障害です。コアサービスの RPC リクエストが完了した後、ブリッジ、CEX パートナー、ホスティング機関などと調整してサービスを回復します。Berachain は、現在 BEX 資金保有者ともコミュニケーションを取っており、彼は MEV ボットオペレーターであり、自身をホワイトハットハッカーと名乗り、アップグレード後に資金を返還するために一連の取引に事前署名する意向を示しています。資金は Berachain のデプロイメントアドレスに返還される予定です。

ChainCatcher のメッセージによると、The Block の報道で、暗号犯罪調査部門「Security Alliance」（略称 SEAL）が、ますます複雑な手段を用いてハッカーの足跡を隠す潜在的なフィッシングサイトを通報するための新しい方法を発表しました。SEAL は、従来の自動スキャン URL が、キャプチャやボット対策などのウェブクローラーの一般的な問題に直面することを指摘し、詐欺師には「偽装」機能があり、疑わしいスキャナーに無害なコンテンツを提供するため、ユーザーが見ているコンテンツを確認できる方法が必要だと述べています。新しい「検証可能なフィッシング通報器」は「TLS 証明」という新しい暗号化スキームを採用し、ホワイトハットハッカーが潜在的な被害者が見るウェブサイトの形式で確認できるようにしています。SEAL は、トランスポート層のセキュリティ自体がセッション記録を生成することをサポートしていないため、第三者が虚偽の内容を報告する機会を与えていると指摘しています。ユーザーはこのプログラムを通じて証明を提出でき、SEAL は内容が適切に署名され、悪意のある活動の証拠が含まれていることを確認します。この機能は約1ヶ月間のプライベートテストを経て、現在一般に公開されています。

ChainCatcher のメッセージによると、Cointelegraph が報じたところでは、ホワイトハットハッカーが Morpho Labs の分散型金融（DeFi）プロトコルから盗まれた約 260 万ドルの暗号資産を成功裏に傍受しました。ブロックチェーンセキュリティ会社 PeckShield は、Morpho Labs が 4 月 10 日に Morpho Blue アプリのフロントエンドを更新した後、あるアドレスが更新によって引き起こされた脆弱性により攻撃を受けたと述べています。著名なホワイトハット MEV オペレーター "c0ffeebabe.eth" が先行取引を通じてこの盗まれた資金を成功裏に傍受しました。現在、資金は別のウォレットアドレスに移動されています。Morpho Labs チームはフロントエンドの更新をロールバックしたことを確認しており、プロトコル内のすべての資金は安全で影響を受けていないと述べ、来週詳細な事件説明を発表する予定です。

ChainCatcher のメッセージによると、Immunefi の 2024 年レポートでは、2023 年と比較して回答者のイーサリアムへの関心が減少したものの、それでもなお暗号ホワイトハッカーの第一選択のブロックチェーンであることが示されています。さらに、Polygon、Arbitrum、Optimism、Solana も注目を集めています。具体的には、87% の回答者がイーサリアムに魅了されており、2023 年の 94% から減少しています。Polygon の関心は 59% に上昇し、第二位にランクインしました。次いで Arbitrum（47%）、Optimism（45%）が続きます。Solana の関心も 2023 年の 32% から 2024 年の 42% に上昇し、第五位にランクインしました。

ChainCatcher のメッセージ、Ronin は X プラットフォームで、ホワイトハッカーが約 1000 万ドルの ETH を返還したと述べており、USDC は後ほど返還される予定です。バグバウンティプログラムはホワイトハッカーに 50 万ドルの報酬を提供します。Ronin ブリッジは再オープン前に監査を受け、監査の進捗に関する最新情報を提供します。

ChainCatcher のメッセージによると、Ronin はソーシャルプラットフォームで、今日の早い時間にホワイトハットが Ronin ブリッジに脆弱性が存在する可能性があると通知したと発表しました。報告を確認した後、最初のチェーン上の操作が発見された約 40 分後に、そのブリッジは一時停止しました。攻撃者は約 4000 ETH と 200 万 USDC を引き出し、これは約 1200 万ドルの価値があり、単一の取引でブリッジから引き出せる最大の ETH と USDC の金額です。ブリッジの制限は、大口資金の引き出しの安全性を高める重要な保障であり、この脆弱性によるさらなる損害を効果的に防ぎました。Ronin は、ブリッジのアップグレードがガバナンスプロセスを経て展開された後に問題を引き起こし、クロスチェーンブリッジが資金を引き出すために必要なブリッジオペレーターの投票閾値を誤解したと述べています。現在、根本原因の解決策を見つけるために努力しており、ブリッジの更新は厳格な審査を受け、その後ブリッジオペレーターの投票によって展開するかどうかが決定されます。現在、ホワイトハットハッカーのように見える行為者との交渉を行っており、彼らは善意の応答を示しています。交渉の結果に関わらず、すべてのユーザー資金は安全であり、短缺資金はブリッジが再開された際に再度預け入れられます。来週には、技術的な詳細と将来の類似事件を防ぐための計画措置を紹介する事後分析結果を共有する予定です。

ChainCatcher のメッセージによると、Paradigm のセキュリティ責任者でありホワイトハットハッカーの Samczsun がソーシャルプラットフォームで、暗号ネットワークセキュリティ脅威情報共有プラットフォーム SEAL-ISAC を発表しました。SEAL-ISAC は、個人が暗号ネットワークセキュリティの脅威、攻撃、対応に関する専門家と連絡を取ることを可能にします。このプラットフォームは無料で、世界中の中央集権的および非中央集権的な組織をサポートしています。報告によると、Samczsun は2024年2月に SEAL Org の設立を最初に発表しました。SEAL（セキュリティアライアンス）は、暗号ネットワークセキュリティの脅威解決組織であり、ホワイトハットハッカーに安全な避難所を提供しています。

ChainCatcher のメッセージ、Super Sushi Samurai の公式がソーシャルプラットフォームで発表したところによると、攻撃者はホワイトハットハッカーであり、Blockscan 上で連絡を取り合っており、今後問題解決のために協力する可能性があります。

ChainCatcher のメッセージによると、Kankodu という名前のホワイトハッカーが 2022 年 7 月に Euler の「first deposit bug」を発見し、その結果 5 万ドルのバグ報奨金を獲得したとされています。その後、このバグを修正する際に導入された「donateToReserves」関数が原因で、2 億ドルの盗難事件が発生しました。ChainCatcher の以前の報道によれば、Euler Finance は今年 3 月にハッカーによるフラッシュローン攻撃を受け、被害額は約 1.97 億ドルで、その中には 8,877,507.35 DAI、849.14 WBTC、34,413,863.42 USDC、85,818.26 stETH が含まれています。

ChainCatcher のメッセージ、DeFi 公共製品 JPEG'd がツイートし、DAO マルチシグアドレスが 5494.4 枚の WETH を受け取ったことを確認しました。pETH の脆弱性から資金を回収したアドレスの所有者は、10%（610.6 枚の WETH）のホワイトハット報酬を受け取りました。

ChainCatcher のメッセージによると、Arbitrum エコシステムの貸付プロトコル Tender.fi を攻撃したハッカーは、盗まれた資金を返還し、97000 ドルの報酬を得ました。この報酬は盗まれた資金の約 6% に相当します。ChainCatcher の以前の報道によれば、0xScope の研究者 Bobie は、今回の攻撃事件はホワイトハットハッカーによるものであると分析し、Tender.fi のオラクル設定に誤りがあるとコメントしました。彼は Tender.fi に連絡を試みており、160 万ドルの資金が今回の事件の影響を受けていると推定しています。（出典リンク）

ChainCatcher のメッセージによると、ホワイトハッカーは 2022 年に Immunefi プラットフォームを通じて合計 5200 万ドルのバグバウンティを獲得しました。その中で、ホワイトハッカーはクロスチェーン相互運用プロトコル Wormhole のバウンティプログラムを通じて 1000 万ドルの報酬を得て、NEAR エコシステムの EVM 拡張ネットワーク Aurora のバグバウンティプログラムを通じて 600 万ドルの報酬を得ました。（出典リンク）

ChainCatcher のメッセージによると、派盾の監視により、1340 万ドルがホワイトハットハッカーのアドレスから Team Finance に返還されました。その中には、FEG に対して 548.7 ETH（86 万ドル）、Tsuka に対して 76.5 万 DAI と 1180 万 TSUKA（62.6 万ドル）、CAW に対して約 500 DAI と 74.6 兆 CAW（約 550 万ドル）、KNDX に対して 209 ETH（32.8 万ドル）が含まれています。以前の報道によると、Team Finance チームが管理する資金は、Uniswap v2 から v3 への移行中にハッキングされ、確認された損失は 1450 万ドルです。現在、チームはこの脆弱性が修正されるまで、Team Finance のすべての活動を一時停止しています。（出典リンク）

链捕手メッセージによると、TheBlockの報道で、OpenSeaは脆弱性を発見した2名のホワイトハットハッカーにそれぞれ10万ドルの報酬を支払ったとのことです。セキュリティ会社Zellicのセキュリティ専門家兼CMOのCorben Leoは、脆弱性報奨金プラットフォームHackerOneを通じて、資産を盗むために利用される可能性のある重要な脆弱性を発見しました。もう一人のホワイトハットハッカーはNixという名前で、関連情報は公開されていません。OpenSeaは関連するパッチを公開したと述べています。（出典リンク）

チェーンキャッチャーのメッセージによると、Cointelegraphが報じたところによれば、匿名のホワイトハットハッカー「0xriptide」がTwitterで、2.5億ドルの資産に関わる脆弱性を発見したと応じ、約1500 ETHの最高報酬を受け取る資格があるべきだと述べていますが、Arbitrumチームが提供した「非常に基本的な」400 ETHの報酬に対しては感謝していると表明しました。現在、ArbitrumおよびOffChain Labsはこの脆弱性について公にコメントしていません。以前、チェーンキャッチャーは匿名のホワイトハットハッカー「0xriptide」がArbitrumの支払いコードの脆弱性を発見し、400 ETH（約52万ドル）の報酬を受け取ったと報じました。この脆弱性は2.5億ドルの資産に関わっています。（出典リンク）