余弦

慢雾の創業者余弦が安全に関する注意喚起を発表しました。ユーザーはAIツールを使用する際、agents md/skills md/mcpなどのヒントに対する投毒攻撃に警戒する必要があります。現在、関連する事例が発生しています。AIツールの危険モードが一度オンになると、関連ツールはユーザーのコンピュータを自動的に操作でき、確認は不要です。しかし、危険モードがオフの場合、毎回の操作にはユーザーの確認が必要であり、使用効率にも影響を与えます。

慢雾の創設者である余弦は X プラットフォームで投稿し、DeBot イベントを追跡しており、ブロックチェーン上の状況を確認していると述べました。DeBot に関連するユーザーの秘密鍵が盗まれ、ハッカーは現在 25.5 万ドルの資産を得ており、引き続き盗難が続いています。DeBot を使用している場合、秘密鍵が DeBot によって割り当てられていると、この秘密鍵にはリスクがあります。

慢雾の創設者余弦がツイートで、Trust Wallet ブラウザ拡張の新バージョンがバックドア問題を完全に解決し、PostHog 関連のコードが含まれていないことを示しました。以前、情報源データに誤りがあったため、分析時に PostHog が完全に削除されていないと誤解されていました。PostHog はオープンソースの全リンク製品分析プラットフォームで、さまざまな情報を収集して分析するために使用できます。Trust Wallet ブラウザ拡張 2.68.0 バージョンにはバックドアがあり、このバージョンは PostHog を利用していました。

慢雾余弦は X プラットフォームで発表し、慢雾チームが2つの取引プラットフォームの深刻な脆弱性（資金の安全に直接影響する）を発見したことを示し、連絡が取れず、公開連絡にも反応がないと述べました。余弦は同時に、これら2つの取引プラットフォームの1つは24時間の取引量が370億ドル、もう1つは2.4億ドルであると述べました。慢雾チームのアカウントのツイートによると、彼らは昨日「ICRYPEX Global」という取引プラットフォームに積極的に連絡を取ったことが示されています。

慢雾の創設者である余弦は「何一のWeChatが盗まれた」事件について分析し、今回のアカウント盗難は、ハッカーがユーザーの長期間使用されていない電話番号の使用権を奪取することによって、WeChatにバインドされたアイデンティティ基盤を引き継いだものであると述べています。もう一つの一般的なリスクは、認証コードのソーシャルエンジニアリング攻撃です：ハッカーはユーザーが漏洩したアカウントのパスワードを取得した後、ユーザーになりすまして、彼の2人の連絡先のWeChat友達に6桁の認証コードを要求し、アカウントを盗むことができます。余弦は、攻撃の前提条件には、既に漏洩したデータの中で一致するアカウントのパスワードが含まれ、さらに被害者のよく連絡を取る友人の情報（グループチャットでのみやり取りがあるユーザーを含む）を事前に収集することが必要であると指摘しています。攻撃者は通常、深夜に実行することを選び、特に暗号通貨関連のユーザーを対象としたOTC詐欺に見られます。彼はユーザーに対して、知らないWeChatの友達を慎重に追加し、パスワードを適時変更し、WeChatのさまざまなリスク警告に注意を払うように警告しています。

据慢雾余弦（@evilcos）发文披露，用户 Babur 遭遇价值 2700 万美元的加密资产被盗事件。据分析，被盗资产主要涉及两个地址：Solana 地址 91xu 和以太坊 Safe 多签地址 0xD2，其中最大两笔被盗资产总价值超过 1800 万美元。黑客地址为 71fM（Solana）和 0x4f（以太坊），部分资金已跨链至以太坊网络。据余弦分析，该事件疑似由电脑中毒导致，用户双击运行恶意文件后私钥泄露，包括 Safe 多签的两个签名私钥均可能存储在被感染的电脑上。

慢雾余弦は X プラットフォームで、ユーザー Babur が 2,700 万ドル相当の暗号資産を盗まれた事件について発表しました。分析によると、盗まれた資産は主に二つのアドレスに関連しています：Solana アドレス 91xu と Ethereum Safe マルチシグアドレス 0xD2 で、最大の二つの盗まれた資産の総価値は 1,800 万ドルを超えています。ハッカーのアドレスは 71fM（Solana）と 0x4f（Ethereum）で、一部の資金は Ethereum ネットワークにクロスチェーンされています。この事件は、コンピュータがマルウェアに感染したことが原因と疑われており、ユーザーが悪意のあるファイルをダブルクリックして実行した後に秘密鍵が漏洩した可能性があります。Safe マルチシグの二つの署名秘密鍵も感染したコンピュータに保存されている可能性があります。

慢雾余弦 @evilcos は、Web3 求職者が面接中に悪意のあるコードトラップに遭遇したと警告しています。事件では、攻撃者が @seracleofficial を装い、求職者に Bitbucket 上のコードをレビューして実行するよう要求しました。被害者がコードをクローンした後、プログラムは直ちにローカルのすべての .env ファイルをスキャンし、秘密鍵などの敏感な情報を盗みました。慢雾側は、このようなバックドアは典型的なスティーラーに属し、ブラウザに保存されたパスワード、暗号ウォレットのリカバリーフレーズや秘密鍵などのプライバシーデータを収集できると指摘しています。専門家は、疑わしいコードのレビューに関与する場合は、必ず隔離された環境で操作し、実際のデバイスで直接実行して攻撃を受けることを避けるべきだと強調しています。

慢雾余弦 @evilcos は、Web3 求職者が面接中に悪意のあるコードの罠に遭遇したと警告しています。事件では、攻撃者が @seracleofficial を装い、求職者に Bitbucket 上のコードをレビューして実行するよう要求しました。被害者がコードをクローンした後、プログラムは直ちにローカルのすべての .env ファイルをスキャンし、秘密鍵などの敏感な情報を盗みました。慢雾側は、このようなバックドアは典型的なスティーラーに属し、ブラウザに保存されたパスワード、暗号ウォレットのリカバリーフレーズや秘密鍵などのプライバシーデータを収集できると指摘しています。専門家は、疑わしいコードのレビューに関与する場合は、必ず隔離された環境で操作し、実際のデバイスで直接実行して攻撃を受けることを避けるべきだと強調しています。

慢雾の創設者余弦がツイートで、Yearnが攻撃を受けた後にチェーン上に現れた「ホワイトハット交渉」のメッセージは偽造であり、実際にはフィッシング行為であり、以前のBalancer事件の手法と一致していると述べました。攻撃者はRailgunプロトコルを使用して身元を隠し、28日前に低Gasアドレスを準備し、利用を完了し、最終的にTornado Cashを通じて1,000枚のETHを移転しました。現在、攻撃者のアドレスには約600万ドルの暗号資産が残っています。

据慢雾余弦披露，部分用户可能未收到 Monad 空投，建议检查此前在空投领取页面 claim.monad.xyz 绑定的钱包地址是否为预期地址。余弦表示，如果绑定地址并非用户预期，可能遭遇了与用户 Onefly（@Onefly）类似的问题------钱包地址被黑客绑定为黑客地址，导致官方将空投发放给了黑客。据余弦透露，此前有白帽黑客曾向其同步过一个相关漏洞，该漏洞存在前置条件：如果有人劫持了用户在 Monad 空投领取页面的会话，可以在无需进一步确认的情况下更改领取钱包地址。

慢雾余弦は X プラットフォームで、GANA が盗まれたのは GANA Payment Stake コントラクトのオーナーの秘密鍵が漏洩したためだと発表しました。その後の攻撃ではいくつかのテクニックが使用されました。例えば、7702 デリゲートの利用により、ちょうど unstake の onlyEOA 判定を回避でき、関連するレートと手数料を変更することで、数百枚の USDT をステークするだけで、数十万枚の USDT をアンステークする攻撃結果を実現しました。

慢雾の創業者である余弦はツイートで次のように述べています。「NoFxというオープンソースの自動取引システムを使用している友人たちは注意してください。私たちが開示したリスクが実際の盗難事件として現れました。一部のユーザーのウォレットの秘密鍵やCEX/DEXのAPIキーが漏洩しました。リスクを最小限に抑えるために、私たちは関連するセキュリティチームと連携し、影響を受けたユーザーに可能な限り通知を行った後に、この文を発表して詳細を開示します。」

据 X 平台用户反映，一名 imToken 钱包用户在参与币安 TGE 活动时遭遇 112 BNB 被盗。安全专家慢雾余弦 @evilcos 初步分析链上数据后发现，该黑客地址 (0x8AeB0171742AC50d20884997F9f5009a233216D5) 已造成至少 7 名用户资金损失。攻击模式显示黑客可能通过获取助记词或私钥进行有计划的攻击，受害者通常在转入大额资金后短时间内便被转走资产。安全团队已开始标记并拉黑相关黑客地址，并持续关注事态发展。

ChainCatcher のメッセージによると、SlowMist の余弦の情報によれば、北朝鮮のハッカーに関連するトロイの木馬 SilentSiphon は、Apple のメモ、Telegram、ブラウザの拡張機能からデータを取得できるほか、ブラウザやパスワードマネージャーから認証情報を取得し、多くのサービスに関連する設定ファイルから機密情報を取得することができます。ユーザーはセキュリティ意識を高め、定期的にソフトウェアのバージョンを更新し、出所不明のアプリケーションをダウンロードしないようにし、信頼できるセキュリティソフトウェアを使用して保護する必要があります。

ChainCatcher のメッセージ、SlowMist の余弦が X プラットフォームで投稿した内容は次の通りです："私たちに提出された GMGN に関する数十件の盗難情報を見たところ、共通点は：ユーザーの秘密鍵は漏洩していないが、SOL BNB がすべて貔貅盤で購入されている（つまり、買うことしかできず、売ることはできない）、ハッカーは主に貔貅盤のプールを撤去する方法でユーザーの資金を巻き上げ、70 万ドル以上の利益を得ています。このような状況を引き起こす原因（秘密鍵の漏洩ではない）は、高度なフィッシング手法による可能性が高いです。GMGN は関連する問題を修正したため、再現は難しいですが、GMGN アカウントのモデルに関連していると推測されます。ユーザーがフィッシングサイトにアクセスし、フィッシングサイトがユーザーの GMGN アカウントモデルのログイン署名情報を取得することで、例えば access_token と refresh_token の値を得て、ユーザーアカウントの権限を乗っ取ります。しかし、ユーザーの 2FA がないため、秘密鍵を直接エクスポートしたり、資金を引き出したりすることはできず、したがって貔貅盤を通じてユーザー資金の「対敲」攻撃を実現し、間接的にユーザーの資産を盗むのです。"

ChainCatcher のメッセージによると、SlowMist の余弦分析によれば、クロスチェーンブリッジプロジェクト 402Bridge の攻撃はプライベートキーの漏洩に起因しており、内部関係者による犯行の可能性も排除できません。402 bridge.fun ドメインは登録からわずか2日でサービスを停止し、現在盗まれた資金にはさらなる動きは見られていません。これは 402 プロトコル関連サービスの最初の公開セキュリティ事件であり、SlowMist の余弦は今回の事件が典型的なプロジェクト側の集団的悪行ではないと述べています。

ChainCatcher のメッセージ、SlowMist の余弦がソーシャルメディアで安全に関する警告を発表し、AI に対する毒物投与の状況が存在すると述べ、ユーザーに対して AI が生成したコードを鵜呑みにしないように特に敏感な操作を行う際には注意するように勧めています。余弦は、成熟した有名なオープンソースコードを優先的に使用することを提案していますが、同時にサプライチェーンの毒物投与リスクにも注意が必要です。もう一つの安全な考え方は、有名なウォレット（ハードウェアウォレットを含む）のオープンソース実装を比較することで、複数の視点から比較検討して安全性を確保することです。

ChainCatcher のメッセージ、コミュニティユーザーが FTX の偽の賠償金に関する電子メールで XPUB を生成するためにツールをダウンロードする必要があると述べたことに対し、Slow Mist の創設者である余弦は X プラットフォームで次のように応答しました："この悪意のあるツールは AI で作成されたと思われ、リカバリーフレーズを盗む意図は非常に明確で、悪意のある Telegram ボットは ftxsexxerbot です。"

ChainCatcher のメッセージによると、SlowMist の余弦が X プラットフォームで以前の Pendle 大口の盗難の詳細を説明する投稿をしました。Pendle の公式は、プロトコルが攻撃を受けていないことを確認したとのことです。Pendle 大口の盗難状況を分析したところ、彼が作成した Morpho フラッシュローンの契約は誰でも呼び出すことができ、その大口は自分のポジションをこの契約に委託していました。ハッカーは大口の Morpho フラッシュローンを呼び出し、その後 AAVE および Pendle のポジションに対する攻撃を実行しました。この Pendle 大口は最終的に 130 万ドル以上の損失を被りました。