余弦

SlowMistの創設者余弦（@evilcos）によると、今回のKelpDAO約2.9億ドルの盗難事件の攻撃の核心は、LayerZero DVN（分散型検証者ネットワーク）下流のRPCインフラストラクチャに対する標的型毒物投与です。具体的な攻撃手順は次の通りです：まず、LayerZero DVNが使用しているRPCノードのリストを取得し、その後、2つの独立したクラスターを攻撃してop-gethバイナリファイルを置き換えます；選択的欺瞞技術を利用して、DVNに対してのみ偽造された悪意のあるペイロードを返し、他のIPには実際のデータを返します；同時に、攻撃されていないRPCノードに対してDDoS攻撃を仕掛け、DVNを毒されたノードにフェイルオーバーさせ、偽造メッセージの検証を完了した後、悪意のあるバイナリが自壊し、ログを消去します。最終的に、LayerZero DVNは「発生したことのない取引」を発行して検証します。

慢雾の創設者余弦はXプラットフォームで投稿し、Coinbaseがユーザーにプレーンテキストのリカバリーフレーズを入力させるページをオフラインにしたと述べました。彼は、ウォレットにとってオンラインウェブページのセキュリティモデルは非常に低く、拡張機能やアプリよりもはるかに劣っていると指摘しました。オンラインウェブページがプレーンテキストのリカバリーフレーズを収集する手法は、フィッシングウェブページに模倣されやすく、すでにフィッシングの一般的な手法となっています。

慢雾余弦は X プラットフォームで次のように発表しました："あるグループがハッキングされている事件が発生しています。ハッカーのアドレス：0x913efc2062984288a0a083cd42b3a3422c07fcef、現在ハッカーは累計で 8.5 万ドルの利益を上げており、まだ増加しています。コミュニティのフィードバックによると、このグループは主に羊毛を刈るプレイヤーに属しており、プライベートキー/ニーモニックフレーズがハッカーによって事前に収集されています。ハッカーは関連資金を集めています。もし MoreLogin フィンガープリンターを使用している場合は必ず注意してください。ただし、現時点では MoreLogin または関連プラグインに問題があるという証拠はありません。"

慢雾の創業者余弦は X プラットフォームで次のように発表しました：「OpenClaw の安定性や堅牢性を信頼していないが、Claude Code には安心している。これはソフトウェア工学の核心目標の一つです。セキュリティに関しては、両社ともにセキュリティへの重視が非常に高く、提出された脆弱性には迅速なフィードバックが得られています。特定の OpenClaw のフォークや参考バージョンは、セキュリティへの積極性が大きく欠けています。セキュリティのシナリオにおいて、OpenClaw はサンドボックス機構を持っており、ツールの権限に関してもより細かい設計を試みていますが、その名の通り「OpenClaw」、オープンさが最大の魅力です。束縛された OpenClaw は OpenClaw ではありません。自由でありながら制御可能であることを望むのは、皆が悩むポイントですが、実際の生産環境では、過度に自由な OpenClaw は制御を失いやすいです。」

慢雾の創設者余弦が安全に関する警告を発表しました。現在、OpenClawのClawHubマーケットでは1,184個の悪意のあるスキルが発見されており、これらのスキルはSSHキー、暗号ウォレット、ブラウザのパスワードを盗み、リバースシェルを開く可能性があります。たった一人の攻撃者が677個のパッケージをアップロードしました。ランキング1位のスキルには9つの脆弱性が存在し、ダウンロード数は数千回に達しています。余弦はユーザーに対し、テキストはもはやテキストではなく、指令であると警告しています。AIツールは独立した環境で使用することを推奨し、多くのOpenClawスキルには潜在的なリスクが存在します。さらに、Web3のセキュリティにおける契約は一部に過ぎず、本当の事故の原因はすでに契約だけではありません。数日前、Moonwellが178万ドルを盗まれた事件では、欠陥コードがCo-Authored-By：Claude Opus 4.6から来ています。

慢雾の創業者余弦が安全に関する注意喚起を発表しました。ユーザーはAIツールを使用する際、agents md/skills md/mcpなどのヒントに対する投毒攻撃に警戒する必要があります。現在、関連する事例が発生しています。AIツールの危険モードが一度オンになると、関連ツールはユーザーのコンピュータを自動的に操作でき、確認は不要です。しかし、危険モードがオフの場合、毎回の操作にはユーザーの確認が必要であり、使用効率にも影響を与えます。

慢雾の創設者である余弦は X プラットフォームで投稿し、DeBot イベントを追跡しており、ブロックチェーン上の状況を確認していると述べました。DeBot に関連するユーザーの秘密鍵が盗まれ、ハッカーは現在 25.5 万ドルの資産を得ており、引き続き盗難が続いています。DeBot を使用している場合、秘密鍵が DeBot によって割り当てられていると、この秘密鍵にはリスクがあります。

慢雾の創設者余弦がツイートで、Trust Wallet ブラウザ拡張の新バージョンがバックドア問題を完全に解決し、PostHog 関連のコードが含まれていないことを示しました。以前、情報源データに誤りがあったため、分析時に PostHog が完全に削除されていないと誤解されていました。PostHog はオープンソースの全リンク製品分析プラットフォームで、さまざまな情報を収集して分析するために使用できます。Trust Wallet ブラウザ拡張 2.68.0 バージョンにはバックドアがあり、このバージョンは PostHog を利用していました。

慢雾余弦は X プラットフォームで発表し、慢雾チームが2つの取引プラットフォームの深刻な脆弱性（資金の安全に直接影響する）を発見したことを示し、連絡が取れず、公開連絡にも反応がないと述べました。余弦は同時に、これら2つの取引プラットフォームの1つは24時間の取引量が370億ドル、もう1つは2.4億ドルであると述べました。慢雾チームのアカウントのツイートによると、彼らは昨日「ICRYPEX Global」という取引プラットフォームに積極的に連絡を取ったことが示されています。

慢雾の創設者である余弦は「何一のWeChatが盗まれた」事件について分析し、今回のアカウント盗難は、ハッカーがユーザーの長期間使用されていない電話番号の使用権を奪取することによって、WeChatにバインドされたアイデンティティ基盤を引き継いだものであると述べています。もう一つの一般的なリスクは、認証コードのソーシャルエンジニアリング攻撃です：ハッカーはユーザーが漏洩したアカウントのパスワードを取得した後、ユーザーになりすまして、彼の2人の連絡先のWeChat友達に6桁の認証コードを要求し、アカウントを盗むことができます。余弦は、攻撃の前提条件には、既に漏洩したデータの中で一致するアカウントのパスワードが含まれ、さらに被害者のよく連絡を取る友人の情報（グループチャットでのみやり取りがあるユーザーを含む）を事前に収集することが必要であると指摘しています。攻撃者は通常、深夜に実行することを選び、特に暗号通貨関連のユーザーを対象としたOTC詐欺に見られます。彼はユーザーに対して、知らないWeChatの友達を慎重に追加し、パスワードを適時変更し、WeChatのさまざまなリスク警告に注意を払うように警告しています。

据慢雾余弦（@evilcos）发文披露，用户 Babur 遭遇价值 2700 万美元的加密资产被盗事件。据分析，被盗资产主要涉及两个地址：Solana 地址 91xu 和以太坊 Safe 多签地址 0xD2，其中最大两笔被盗资产总价值超过 1800 万美元。黑客地址为 71fM（Solana）和 0x4f（以太坊），部分资金已跨链至以太坊网络。据余弦分析，该事件疑似由电脑中毒导致，用户双击运行恶意文件后私钥泄露，包括 Safe 多签的两个签名私钥均可能存储在被感染的电脑上。

慢雾余弦は X プラットフォームで、ユーザー Babur が 2,700 万ドル相当の暗号資産を盗まれた事件について発表しました。分析によると、盗まれた資産は主に二つのアドレスに関連しています：Solana アドレス 91xu と Ethereum Safe マルチシグアドレス 0xD2 で、最大の二つの盗まれた資産の総価値は 1,800 万ドルを超えています。ハッカーのアドレスは 71fM（Solana）と 0x4f（Ethereum）で、一部の資金は Ethereum ネットワークにクロスチェーンされています。この事件は、コンピュータがマルウェアに感染したことが原因と疑われており、ユーザーが悪意のあるファイルをダブルクリックして実行した後に秘密鍵が漏洩した可能性があります。Safe マルチシグの二つの署名秘密鍵も感染したコンピュータに保存されている可能性があります。

慢雾余弦 @evilcos は、Web3 求職者が面接中に悪意のあるコードトラップに遭遇したと警告しています。事件では、攻撃者が @seracleofficial を装い、求職者に Bitbucket 上のコードをレビューして実行するよう要求しました。被害者がコードをクローンした後、プログラムは直ちにローカルのすべての .env ファイルをスキャンし、秘密鍵などの敏感な情報を盗みました。慢雾側は、このようなバックドアは典型的なスティーラーに属し、ブラウザに保存されたパスワード、暗号ウォレットのリカバリーフレーズや秘密鍵などのプライバシーデータを収集できると指摘しています。専門家は、疑わしいコードのレビューに関与する場合は、必ず隔離された環境で操作し、実際のデバイスで直接実行して攻撃を受けることを避けるべきだと強調しています。

慢雾余弦 @evilcos は、Web3 求職者が面接中に悪意のあるコードの罠に遭遇したと警告しています。事件では、攻撃者が @seracleofficial を装い、求職者に Bitbucket 上のコードをレビューして実行するよう要求しました。被害者がコードをクローンした後、プログラムは直ちにローカルのすべての .env ファイルをスキャンし、秘密鍵などの敏感な情報を盗みました。慢雾側は、このようなバックドアは典型的なスティーラーに属し、ブラウザに保存されたパスワード、暗号ウォレットのリカバリーフレーズや秘密鍵などのプライバシーデータを収集できると指摘しています。専門家は、疑わしいコードのレビューに関与する場合は、必ず隔離された環境で操作し、実際のデバイスで直接実行して攻撃を受けることを避けるべきだと強調しています。

慢雾の創設者余弦がツイートで、Yearnが攻撃を受けた後にチェーン上に現れた「ホワイトハット交渉」のメッセージは偽造であり、実際にはフィッシング行為であり、以前のBalancer事件の手法と一致していると述べました。攻撃者はRailgunプロトコルを使用して身元を隠し、28日前に低Gasアドレスを準備し、利用を完了し、最終的にTornado Cashを通じて1,000枚のETHを移転しました。現在、攻撃者のアドレスには約600万ドルの暗号資産が残っています。

据慢雾余弦披露，部分用户可能未收到 Monad 空投，建议检查此前在空投领取页面 claim.monad.xyz 绑定的钱包地址是否为预期地址。余弦表示，如果绑定地址并非用户预期，可能遭遇了与用户 Onefly（@Onefly）类似的问题------钱包地址被黑客绑定为黑客地址，导致官方将空投发放给了黑客。据余弦透露，此前有白帽黑客曾向其同步过一个相关漏洞，该漏洞存在前置条件：如果有人劫持了用户在 Monad 空投领取页面的会话，可以在无需进一步确认的情况下更改领取钱包地址。

慢雾余弦は X プラットフォームで、GANA が盗まれたのは GANA Payment Stake コントラクトのオーナーの秘密鍵が漏洩したためだと発表しました。その後の攻撃ではいくつかのテクニックが使用されました。例えば、7702 デリゲートの利用により、ちょうど unstake の onlyEOA 判定を回避でき、関連するレートと手数料を変更することで、数百枚の USDT をステークするだけで、数十万枚の USDT をアンステークする攻撃結果を実現しました。

慢雾の創業者である余弦はツイートで次のように述べています。「NoFxというオープンソースの自動取引システムを使用している友人たちは注意してください。私たちが開示したリスクが実際の盗難事件として現れました。一部のユーザーのウォレットの秘密鍵やCEX/DEXのAPIキーが漏洩しました。リスクを最小限に抑えるために、私たちは関連するセキュリティチームと連携し、影響を受けたユーザーに可能な限り通知を行った後に、この文を発表して詳細を開示します。」

据 X 平台用户反映，一名 imToken 钱包用户在参与币安 TGE 活动时遭遇 112 BNB 被盗。安全专家慢雾余弦 @evilcos 初步分析链上数据后发现，该黑客地址 (0x8AeB0171742AC50d20884997F9f5009a233216D5) 已造成至少 7 名用户资金损失。攻击模式显示黑客可能通过获取助记词或私钥进行有计划的攻击，受害者通常在转入大额资金后短时间内便被转走资产。安全团队已开始标记并拉黑相关黑客地址，并持续关注事态发展。

ChainCatcher のメッセージによると、SlowMist の余弦の情報によれば、北朝鮮のハッカーに関連するトロイの木馬 SilentSiphon は、Apple のメモ、Telegram、ブラウザの拡張機能からデータを取得できるほか、ブラウザやパスワードマネージャーから認証情報を取得し、多くのサービスに関連する設定ファイルから機密情報を取得することができます。ユーザーはセキュリティ意識を高め、定期的にソフトウェアのバージョンを更新し、出所不明のアプリケーションをダウンロードしないようにし、信頼できるセキュリティソフトウェアを使用して保護する必要があります。