安全脆弱性

a16zが支援するプライバシーチェーンAztec Networkが正式にAlpha Networkを立ち上げ、完全なプライバシーを持つスマートコントラクト実行環境を備えたEthereum Layer 2として初めて登場しました。これは、コミュニティガバナンスの投票で全会一致で承認されました。Aztecはプライバシーを3つのレベルに統合しています：プライバシーデータは機密取引とRWA送金をサポートします；プライバシーIDは選択的開示を許可し、コンプライアンス要件を満たします；プライバシー計算はオンチェーンの行動を隠し、プライバシーDeFiおよびゲームアプリケーションのためのスペースを開きます。コントラクトはRustスタイルの言語Noirで記述されており、プライバシーロジックはユーザー側で実行され、ゼロ知識証明を生成します。約12秒ごとにEthereumで決済が完了します。しかし、今回の立ち上げには重大な警告が伴います。Aztecは既知の深刻なセキュリティ脆弱性を開示し、監査作業はまだ進行中です。チームはユーザーに対し、損失を受け入れられる資金のみを預けることを推奨しています。

OKXの創設者兼CEOのStarは、「武漢安隼科技チームによるプラグインの脆弱性を利用したハッキング事件」に関して発表し、「OKX Walletのセキュリティチームは調査を完了しました。原文で『OKXウォレットの脆弱性』と表現されているのは正確ではありません。以下の2点を明確にする必要があります：この事件はOKX Web3ウォレットのセキュリティ脆弱性ではありません。攻撃手法は、ハッカーがトロイの木馬ソフトウェアを通じてユーザーのデバイスを制御し、ウェブページのJSコードを改ざんしてhookを埋め込むか、キーボード入力を監視するなどの方法で、ローカルに保存された暗号ファイルやパスワードを盗むことです。OKX Web3ウォレットは100%自己管理型ウォレットです。秘密鍵とパスワードはユーザー自身のデバイスにのみ存在し、OKXはユーザーの資産にアクセスしたり制御したりすることはできません。しかし、ユーザーのデバイス自体がすでにハッカーに制御されている場合、MetaMaskを含むどのウォレットも安全を保証することはできません。これは、泥棒がすでにあなたのコンピュータを操作し、すべてのキーボード入力を見ているようなものです。ユーザーには、出所不明のソフトウェアやプラグインのインストールを避け、定期的にデバイスのセキュリティを確認し、リカバリーフレーズや秘密鍵を適切に保護することをお勧めします。」報道によると、武漢安隼科技チームは多数のユーザー端末を制御し、リカバリーフレーズを盗み、デジタル資産を遠隔で移転させ、関与した金額は700万ドルに達しています。

Maple Finance は、Web アプリケーションにセキュリティの脆弱性が存在することを発表しました。この問題は修正されましたが、慎重を期すために、修正が完全に完了するまで Web アプリケーションを一時的に閉鎖します。チームは、スマートコントラクトには影響がなく、ユーザーの預金は安全であると述べています。チームは、ウェブアプリケーションが再開された後にユーザーに通知します。

専注ラテンアメリカ市場のステーブルコイン銀行スタートアップKontigoは、週末にセキュリティの脆弱性を発見し、迅速に封じ込めたと発表し、1,005名の影響を受けたユーザーに対して合計34.09万ドルのステーブルコインを全額補償したと述べています。会社の共同創設者兼CEOであるJesus A. Castilloは、彼の個人アカウントも侵害されたと述べ、これは会社の経営陣とユーザーに対する直接的な攻撃であるとしています。CastilloはXプラットフォームで、会社は攻撃者の身元を把握しており、関連者は「結果から逃れることはない」と投稿しました。このセキュリティ事件は、Kontigoが急速に拡大している段階で発生しました。数週間前の12月22日、同社はFoundersX Venturesが主導する2,000万ドルのシードラウンドの資金調達を完了したと発表しており、その資金は製品開発や新興市場の拡大に使用される予定です。Kontigoは設立から1年も経っておらず、Y Combinatorの支援を受けています。同社は過去12ヶ月で3,000万ドルの年換算収入を達成し、10億ドルを超える支払い規模を処理し、アクティブユーザー数は100万人を突破し、チームの規模はわずか7人です。しかし、Kontigoは以前にも「去銀行化」の問題で注目を集めていました。メディアは、同社が仲介を通じて使用していた銀行口座がコンプライアンスリスクのために凍結されたと報じていますが、Castilloは関連する主張を否定し、問題は仲介機関に起因するものであり、銀行自体ではないと述べています。

据慢雾官方消息，该机构已发现 HitBTC 交易所存在潜在严重安全漏洞。SlowMist 表示已通过私信方式提前向 HitBTC 披露相关信息，但尚未收到回应。公式の情報によると、SlowMistはHitBTC取引所に潜在的な重大なセキュリティ脆弱性が存在することを発見しました。SlowMistは、HitBTCに関連情報を事前にプライベートメッセージで開示したが、まだ返答を受け取っていないと述べています。

Trust Wallet 公式が安全警告を発表しました。Trust Wallet ブラウザ拡張機能の 2.68 バージョンに安全上の脆弱性が確認されました。2.68 バージョンを使用しているユーザーは、直ちにその拡張機能を無効にし、2.69 にアップグレードしてください。公式の Chrome ウェブストアリンクからアップグレードを行ってください。また、モバイル版のみを使用しているユーザーおよび他のすべてのブラウザ拡張バージョンは影響を受けません。チームはこの問題に積極的に取り組んでおり、最新の更新情報をできるだけ早く共有します。

据 The Block 报道，加密预测市场平台 Polymarket 于 12 月 24 日确认，多名用户账户因第三方认证提供商的安全漏洞而遭到黑客攻击。受影响用户在社交媒体上报告，即使启用了双重认证，资金仍被清空。该问题似乎与 Magic Labs 提供的电子邮件登录服务有关，这是许多首次使用加密货币的用户常用的注册方式。Polymarket 表示已解决此安全问题，目前无持续风险，但未透露受影响用户数量及损失金额。

慢雾は暗号取引所ICRYPEX Globalに安全通知を送信し、潜在的な重大な脆弱性を発見したと述べています。慢雾はICRYPEX Globalに対し、今すぐ連絡を取り、今後の手順を調整するように促しています。

Uniswap は Cantina で最大 1550 万ドルの新しいバグ報奨プログラムを開始し、研究者が Uniswap プロトコル、Uniswap Web インターフェース、バックエンドサービス、モバイルおよび拡張ウォレット、インフラストラクチャ内のセキュリティ脆弱性を見つけて報告することを奨励します。このプログラムでは、脆弱性の深刻度に応じて報酬が提供され、重大、高リスク、中程度、低リスクの4つのレベルに分類され、それぞれの最高報酬は 1550 万ドル、100 万ドル、10 万ドル、5 万ドルとなっています。

ChainCatcher のメッセージ、ビットコインブリッジプロトコル Garden Finance が X プラットフォームで発表し、ある "ソルバー（solver）" にセキュリティの脆弱性が存在することを検出したため、セキュリティ脆弱性の調査を行うことになり、現在 APP 機能を一時的に停止しています。影響はソルバー自身に限られ、ユーザーの資金やプロトコルにはリスクがないとのことです。今後、さらなる情報をできるだけ早く公開する予定です。以前の情報によると、"オンチェーン探偵" ZachXBT が個人チャンネルで Garden Finance が攻撃を受け、550 万ドル以上の損失を被った疑いがあると発表しました。彼のチームは攻撃者に対して、10% のホワイトハット報酬を提供する意向を示すオンチェーンメッセージを送信しましたが、この件についてはまだ公にコメントしていません。

ChainCatcher のメッセージ、CrediX の公式は疑わしいセキュリティ脆弱性が発生したと発表し、現在調査中であり、詳細をできるだけ早く発表する予定です。リスクを防ぐために、CrediX はウェブサイトを停止し、ユーザーの入金を禁止しました。ユーザーは操作が必要な場合、契約を通じて引き出してください。以前の報道、Cyvers Alerts は Sonic ネットワーク上で CrediX に関与する複数の疑わしい取引を検出しました。

ChainCatcher のメッセージによると、Starknet エコシステムプロジェクト zkLend がソーシャルプラットフォームで発表し、このプロジェクトを段階的に終了することを発表しました。公式は、この決定が軽率なものではないと述べています。過去数ヶ月間、zkLend が直面したセキュリティ脆弱性の事件はユーザーの信頼を大きく揺るがし、最近の ZEND トークンが Bybit や KuCoin などの主要な取引所から上場廃止されたことが、トークンの流動性とアクセス可能性をさらに制限しました。これらの変化により、zkLend は新しいビジネスを展開するためにリソースを効果的に配分することが難しくなりました。現在の状況を鑑みて、zkLend は残りの 20 万ドルの国庫資金をユーザー補償基金に使用することが、通貨市場を再開することや開発を続けることよりも責任ある意識と現実的な意味を持つと考えています。チームは引き続きオンラインの状態を維持し、資産の回収作業を全力で進めていきます。

ChainCatcher のメッセージ、SlowMist がセキュリティ警告を発表：Meta Pool に関連する潜在的な疑わしい活動が検出されました。根本的な原因は、_deposit 関数が書き換えられたことで、トークンを移動することなく mint 関数を通じて任意のコインを鋳造できるようになったためです。コミュニティは警戒を怠らないようにしてください。

ChainCatcher のメッセージによると、Cork Protocol の共同創設者 Phil Fogel が X プラットフォームで投稿し、脆弱性を調査中であり、すべての契約が一時停止されていることを報告しました。今後の情報については随時報告される予定です。ChainCatcher 以前の報道によると、Cyvers Alerts が X プラットフォームで投稿し、システムが Cork Protocol が攻撃を受けている疑いを検出し、約 1200 万ドルの損失が発生したと報告しました。

ChainCatcher のメッセージ、多署名ウォレットプロトコル Safe がツイートで述べたところによると、ByBit の言によれば、Safe{Wallet} UI に表示される取引情報は正しいが、チェーン上で全ての有効な署名を持つ悪意のある取引が実行されたとのこと。Safe のこれまでの調査結果は以下の通りです：コードベースの脆弱性は発見されていない：Safe コードベースを徹底的にチェックした結果、脆弱性や改ざんの証拠は見つかりませんでした。悪意のある依存関係は発見されていない：Safe コードベースに取引フローに影響を与える悪意のある依存関係（つまり、サプライチェーン攻撃）が存在する兆候はありません。ログにはインフラへの不正アクセスは検出されていません。他の Safe アドレスは影響を受けていません。前述の通り、Safe はプラットフォームの絶対的な安全性を確保するために、Safe{Wallet} 機能を一時的に停止しました。調査では Safe{Wallet} フロントエンド自体が攻撃を受けた証拠は見つかっていませんが、徹底的な審査が行われています。

ChainCatcher のメッセージによると、フィデリティは最近、メイン州の司法長官に文書を提出し、77,099 人の顧客がデータ漏洩の影響を受けたと述べており、これはその 5,150 万人の顧客基盤の一部に過ぎません。同社は、8 月 17 日から 19 日の間に、攻撃者が最近設立した 2 つの顧客アカウントを利用して顧客の名前やその他の個人識別情報を取得したと述べています。8 月 19 日、フィデリティがこの脆弱性を初めて発見した際に、無許可のアクセスは終了しました。同社は、「外部のセキュリティ専門家」の支援を受けてこの問題を解決したと述べています。フィデリティは、第三者がフィデリティのアカウントにアクセスしたことはないと強調しています。フィデリティは、影響を受けたユーザーに対して、個人の財務状況に影響を与える可能性のある異常な活動を発見するために、2 年間の無料クレジット監視および身分回復サービスを提供すると述べています。

ChainCatcher のメッセージによると、VUSD は Telegram チャンネルで、Onyx Protocol がセキュリティの脆弱性に直面し、1300 万ドル以上の VUSD が盗まれたと発表しました。事件発生後、スマートコントラクトは一時停止され、現在 VUSD のコードベースと準備金には脆弱性がないことが確認されています。ハッカーはその後、盗まれた VUSD を流動性プールに販売し、二次市場の流動性が約 150 万ドル失われました。悪意のある行為者はサービス条項に基づきブラックリストに登録され、調査が終了次第、VUSD スマートコントラクトサービスは再開され、参加者はアービトラージを続けることができます。VUSD は依然として過剰担保の資産によって完全にサポートされており、機関ユーザーは市場価格で VUSD を償還および発行することができます。VUSD は Onyx DAO および関連当局と協力して攻撃者を特定し、今後小売償還に必要なライセンスを探求する計画です。報告によると、Onyx の盗難の影響で、VUSD は一時的にペッグを外れ 0.6599 ドルまで下落しました。

ChainCatcher のメッセージによると、SlowMist はソーシャルプラットフォームで先週（7月1日〜7月7日）の暗号分野のセキュリティレポートを発表し、その期間中に合計900万ドル以上の損失が発生しました。具体的な事件の種類と損失状況は以下の通りです：1、アカウントの盗難：Interlay（損失不明）；Sydney Sweeney（損失不明）；2、情報漏洩：Authy（損失不明）；Evolve Bank & Trust（損失不明）；3、セキュリティの脆弱性：Bittensor ウォレット（損失 800 万ドル）4、Rug Pull：偽の TRUMP（MAGA）（損失 957,552 ドル）；5、再入攻撃：MintRisesPrices（損失 59,000 ドル）。