ライブラリ

市場の情報によると、LayerZero Labsの共同創設者兼CEOであるBryan Pellegrinoは、本日、ETHSecurity Community Telegramグループでセキュリティ研究者と激しい議論を交わしました。核心の争点は、LayerZero Labsが時間制限のないデフォルトライブラリ契約を即座にアップグレードしてメッセージを偽造できるため（rsETHがハッキングされた状況に類似）、30億ドル以上の価値を持つLZ OFTが最近盗まれるリスクに直面しているということです。研究者のBantegは、EthenaやEtherFiなどの主流プロジェクトが数週間前にまだこのデフォルトライブラリ契約を使用しており、現在も1.78億ドルの価値がリスクにさらされていると指摘しました。これらの資金は、依然としてデフォルトライブラリを使用しているプロジェクトから来ています。オンチェーンデータによると、LayerZero Labsのマルチシグ署名者は、ミームコイン取引、DEX交換、クロスチェーンブリッジなどの非マルチシグ署名活動に参加しており、これは正式な環境のマルチシグキーがウェブサイトに接続されていたことを意味し、フィッシングリスクを高めています。LayerZeroのマルチシグ署名者がプロダクション環境のキーを使用して取引活動を行ったことについて、Bryanは関連する取引がマルチシグチームのメンバーによって行われたことを確認しましたが、「ミームコイン取引」であることは否定し、「LZ OFTトークン標準上でPEPEをテストしていた」と説明し、関与したメンバーはすでに除外されたと述べました。Bryanはまた、プロジェクト側にリスクを低減するために「デフォルト設定を使用するのではなく、直接固定設定を行う」ことを提案しました。Bantegはその後、依然としてデフォルトライブラリ契約を使用しているLayerZeroユーザーの長いリストをマークし、これらのプロジェクトは早急に固定設定に移行すべきであると指摘しました。

OpenAIは発表し、最近の業界全体の安全事件において、使用しているサードパーティ開発ライブラリAxiosに潜在的な安全問題があることを発見した。調査の結果、ユーザーデータがアクセスされたり、システムが侵害されたり、ソフトウェアが改ざんされた証拠は見つからなかった。慎重を期して、OpenAIは安全強化措置を開始し、特にmacOSアプリの認証メカニズムを強化し、悪意のある者が公式アプリを偽造して配布するのを防ぐことに重点を置いている。OpenAIはすべてのmacOSユーザーに対し、潜在的なリスクを低減するために、最新バージョンのアプリにできるだけ早く更新するよう、アプリ内更新または公式チャネルからのダウンロードを通じて促している。

攻撃者は、JavaScriptで最も人気のあるHTTPクライアントライブラリAxiosの主要メンテナーのnpmアクセス令牌を盗み、その令牌を利用してクロスプラットフォームのリモートアクセス型トロイの木馬（RAT）を含む2つの悪意のあるバージョン（[email protected]と[email protected]）を公開しました。これらはmacOS、Windows、Linuxシステムを対象としています。悪意のあるパッケージはnpmレジストリ上で約3時間生存した後に削除されました。セキュリティ会社Wizのデータによると、Axiosの週あたりのダウンロード数は1億回を超え、約80%のクラウドおよびコード環境に存在しています。セキュリティ会社Huntressは、悪意のあるパッケージが公開されてから89秒後に最初の感染を検出し、露出ウィンドウ期間内に少なくとも135のシステムが侵害されたことを確認しました。注目すべきは、Axiosプロジェクトは以前にOIDC信頼できる公開メカニズムやSLSAトレーサビリティ証明などの現代的なセキュリティ対策を導入していたにもかかわらず、攻撃者はこれらの防御を完全に回避しました。調査の結果、プロジェクトはOIDCを設定する際に従来の長期有効なNPM_TOKENを保持しており、npmは両者が共存する場合、デフォルトで従来のトークンを優先して使用するため、攻撃者はOIDCを突破することなく公開を完了できました。

ビットコインコア開発者 Murch は 2 月 11 日に、BIP 360（Pay to Merkle Root、P2MR）が正式にビットコイン改善提案ライブラリに入ったことを発表し、ビットコイン開発コミュニティが公式技術ロードマップに量子耐性を初めて組み込んだことを示しています。この提案は Hunter Beast、Ethan Heilman、Isabel Foxen Duke によって共同執筆されており、現在は審査と議論の段階にあり、まだプロトコルの変更は有効化されていません。

根据 Web3 资产数据平台 RootData X 追踪数据显示，过去 7 天，去中心化人工智能运行库 Gradient Network 为新增 X（推特） Top 人物关注者最多的项目，新关注该项目的 X 影响力人物包括 DeFi 分析师 Ignas(@DefiIgnas)、DeFi 分析师 Ignas(@DefiIgnas)、区块先生 (@mrblocktw)。Web3資産データプラットフォームRootData Xの追跡データによると、過去7日間で、分散型人工知能運用ライブラリGradient Networkは新たにX（Twitter）トップ人物のフォロワーが最も多いプロジェクトとなりました。このプロジェクトを新たにフォローしたXの影響力のある人物には、DeFiアナリストのIgnas(@DefiIgnas)、DeFiアナリストのIgnas(@DefiIgnas)、ブロック氏(@mrblocktw)が含まれます。

ChainCatcher のメッセージ、分散型ステーキングプロトコル Lido が Earn タブを導入し、厳選されたさまざまな戦略ライブラリを表示します。最初にローンチされたプロジェクトは Veda Labs によって提供される GG Vault (GGV) で、ETH、WETH、stETH または wstETH を使用した「ブルーチップ」DeFi 戦略へのワンクリックアクセス機能を提供します。2 番目にローンチされるプロジェクトは Mellow によって開発された分散型バリデータ Vault (DVV) で、9 月中旬にローンチされる予定です。

ChainCatcher のメッセージ、Coinbase の暗号学責任者 Yehuda Lindell がツイートで、Coinbase が MPC エンジンのオープンソース暗号ライブラリを発表し、ECDSA および Schnorr/EdDSA プロトコルの二者および多者署名をサポートし、DKG、バックアップなどのツールを提供すると述べました。コードには commitments、random oracles、secret sharing などの基本的な原語、さらに oblivious transfer と一連の ZK 証明が含まれており、閾値署名タスクに適しています。

ChainCatcher のメッセージ、SlowMist セキュリティチームが発表したところによると、広く使用されている elliptic 暗号ライブラリに重大な脆弱性（GHSA-vjh7-7g9h-fjfh）が発見されました。攻撃者は特定の入力を構築することで、1 つの署名だけで秘密鍵を抽出できる可能性があり、これによりデジタル資産やアイデンティティ証明書が盗まれる恐れがあります。この脆弱性は、この暗号ライブラリに依存するブロックチェーンアプリケーションやデジタルアイデンティティシステムに影響を与える可能性があります。

ChainCatcher のメッセージ、エルサルバドル大統領の指導の下にあるビットコインオフィス The Bitcoin Office は X で、エルサルバドル国立図書館にビットコイン専用エリアを設置することを示しました。図書館の訪問者は、ビットコインに関するすべての優れた書籍を見つけるだけでなく、稼働中のフルノードを見る機会や、ビットコインネットワークでの使用に関する重要な情報を得ることができます。

ChainCatcher のメッセージによると、SlowMist の創設者である余弦の監視により、Starknet チェーン上の貸し出しプロトコル zkLend が 2 月 12 日にハッキングされ、950 万ドル以上の損失を被った。攻撃の原因は、そのマーケットコントラクトが使用している safeMath ライブラリが除算計算を直接的に行っているため、出金時に実際に破棄する必要がある zToken の数に四捨五入のバグが生じたことにある。攻撃者はこのバグを利用して利益を得た。オンチェーンデータによると、攻撃者のアドレスは 235 日間の活動履歴があり、Binance などの複数のプラットフォームと相互作用の記録がある。現在、ハッカーは盗まれた資金をクロスチェーンで移転しており、その大部分はイーサリアムネットワークに送られている。余弦は、Starknet に関連するアドレスを追跡することで、この攻撃者が 2023 年 7 月 25 日に発生した EraLend のハッキング事件と関連していることを発見した。

ChainCatcher のメッセージ、今日の zkLend における 900 万ドル以上の盗難事件について、SlowMist が分析を発表しました。この攻撃の核心的な原因は、市場契約が採用している safeMath ライブラリにあります。除算計算を行う際に、直接除算を使用することで、引き出し時に実際に破棄する必要がある zToken の数量を計算する際に四捨五入の脆弱性が存在します。攻撃者はこの脆弱性を利用して不正に利益を得る可能性があります。ユーザーは zkLend 上の資産状態に注意を払い、可能な損失を避けるために、zkLend に関連する入金を一時停止することをお勧めします。

ChainCatcher のメッセージによると、公式の発表により、OKX 取引所は「ダイナミック」機能を正式にリリースし、Web3 ウォレットにおいても展開される予定です。これにより、取引所と Web3 ウォレットの両方で Twitter やニュースの集約コンテンツを提供する初のプラットフォームとなります。この機能は、ユーザーに包括的でリアルタイムな市場の洞察を提供し、より効率的に取引判断を行う手助けをすることを目的としています。報道によると、OKX の「ダイナミック」機能は、ニュースメディアや Twitter などのソーシャルプラットフォームの重要な情報を統合し、AI を通じてコイン情報を識別します。これにより、ユーザーは特定のコインに関するニュースを迅速に確認でき、簡素化されたリソースライブラリを提供し、市場の最新動向をリアルタイムで取得しやすくなります。これにより、経験豊富なユーザーのコインに関するニュースの集約、質の高い情報の選別、自動翻訳のニーズを満たすだけでなく、新規ユーザーが質の高い KOL を簡単に見つけ、市場エコシステムに迅速に溶け込む手助けをし、ユーザーの情報検索と発見の課題をより良く解決します。

ChainCatcher のメッセージによると、Chainwire が報じたところでは、Web3 オープンソフトウェアライブラリ KRNL Labs が 170 万ドルのプレシードラウンドの資金調達を完了し、TRGC、Superscrypt、Ryze Labs、Builder Capital、Blockchain Founders Fund、WAGMi Ventures、STIX、YAP Capital 及び数人の戦略的エンジェル投資家が参加しました。KRNL Labs は、RPC ノードレベルでの革新を通じてクロスチェーン通信を実現し、Web3 のための新しいソフトウェア管理を構築しています。KRNL Labs は、クロスブロックチェーンネットワークの共有ライブラリの能力を解放し、タスクの実行方法を変革しています。KRNL Labs は、2022 年に Tahir Mahmood と Asim Ahmad によって設立され、Web3 における断片化の問題と既存のソリューションの統合の非効率性を解決することを目的としています。

ChainCatcher のメッセージ、分散型デリバティブ取引プラットフォーム Aevo は、Aevo Strategies の導入を発表しました。これは、ユーザーの代わりに複雑な戦略を実行する自動取引ライブラリです。ユーザーは、通常大規模機関やマーケットメイカーが使用する取引戦略を含む専用ライブラリにワンクリックでアクセスできます。

ChainCatcher のメッセージ、Nervos CKB はウォレット接続ライブラリ CCC (Common Chains Connector) を発表しました。開発者は CCC を通じてユーザーがさまざまなエコシステムウォレットに接続し、CKB チェーン上の資産を直接操作できるようにします。現在、CCC は JoyID、OKX、UniSat、Metamask などの有名なウォレットをサポートしています。CKB のカスタム暗号プリミティブの利点とネイティブアカウント抽象化機能のおかげで、ユーザーはさまざまなウォレットを使用して、CKB チェーン上のデジタル資産の取引と管理をシームレスに行うことができます。さらに、CCC 開発チームはその互換性をさらに拡張する計画を立てており、将来的には SOL、Doge、Nostr などの他の主要なエコシステムウォレットもサポートし、すべてのブロックチェーンウォレットを CKB ウォレットにし、すべてのブロックチェーンアドレスを CKB アドレスにすることを実現します。

ChainCatcher のメッセージ、Paradigm が Ethereum と対話するためのコードライブラリ Alloy v0.1 をリリースしました。Alloy は、RPC タイプから ABI エンコーダーおよび原始タイプまで、EVM ブロックチェーンと対話するために必要な低レベルのビルディングブロックを完全に再構築したもので、ethers-rs の代替品です。Alloy v0.1 には、EVM ベースのブロックチェーンと対話するために必要なすべてのユーティリティ、多くの API 改善と新機能が含まれています。このバージョンの一環として、Paradigm は ethers-rs のメンテナンスを正式に停止し、すべての人に Alloy への移行を促しています。

ChainCatcher のメッセージ、Magic Eden の共同創設者 rex.magic が X プラットフォームで発表しました。Magic Eden のビットコイン NFT 市場は、Runes プロトコルと相互作用する TypeScript ライブラリ "runestone-lib" をオープンソース化しました。新しいプラグアンドプレイの Rune クライアント実装として、Rune のマルチクライアント実装規範を強化するのに役立ちます。Runestone-lib は Runes のエンコード、デコード、インデックスのネイティブサポートを提供し、このライブラリは Magic Eden 上の Runes ドリブンのアプリケーションと体験にも対応しています。

ChainCatcher のメッセージ、今日最高人民法院は記者会見を開き、人民法院のケースライブラリが正式にオンラインになり、社会に開放されたことを発表しました。劉楊弁護士は彼のWeChat公式アカウントで人民法院のケースライブラリにおける仮想デジタル通貨に関するすべてのケースを整理しました。検索キーワード「テザー」（usdtを含む）に関連する3件のケース、「ビットコイン」に関連する7件のケース、「イーサ」に関連する1件のケース、「仮想通貨」に関連する8件のケース、「NFT」（デジタルコレクションを含む）に関連する1件のケースが含まれています。

ChainCatcher のメッセージ、Dfinity ICP 開発者アカウントがソーシャルプラットフォームで公開されました。現在、JS プロキシライブラリに深刻なセキュリティ問題が発生しています。ICP で DApp を構築する際に JavaScript プロキシパッケージを使用する場合は、最新バージョンに更新することを確認してください。