安全脆弱性

Maple Finance は、Web アプリケーションにセキュリティの脆弱性が存在することを発表しました。この問題は修正されましたが、慎重を期すために、修正が完全に完了するまで Web アプリケーションを一時的に閉鎖します。チームは、スマートコントラクトには影響がなく、ユーザーの預金は安全であると述べています。チームは、ウェブアプリケーションが再開された後にユーザーに通知します。

専注ラテンアメリカ市場のステーブルコイン銀行スタートアップKontigoは、週末にセキュリティの脆弱性を発見し、迅速に封じ込めたと発表し、1,005名の影響を受けたユーザーに対して合計34.09万ドルのステーブルコインを全額補償したと述べています。会社の共同創設者兼CEOであるJesus A. Castilloは、彼の個人アカウントも侵害されたと述べ、これは会社の経営陣とユーザーに対する直接的な攻撃であるとしています。CastilloはXプラットフォームで、会社は攻撃者の身元を把握しており、関連者は「結果から逃れることはない」と投稿しました。このセキュリティ事件は、Kontigoが急速に拡大している段階で発生しました。数週間前の12月22日、同社はFoundersX Venturesが主導する2,000万ドルのシードラウンドの資金調達を完了したと発表しており、その資金は製品開発や新興市場の拡大に使用される予定です。Kontigoは設立から1年も経っておらず、Y Combinatorの支援を受けています。同社は過去12ヶ月で3,000万ドルの年換算収入を達成し、10億ドルを超える支払い規模を処理し、アクティブユーザー数は100万人を突破し、チームの規模はわずか7人です。しかし、Kontigoは以前にも「去銀行化」の問題で注目を集めていました。メディアは、同社が仲介を通じて使用していた銀行口座がコンプライアンスリスクのために凍結されたと報じていますが、Castilloは関連する主張を否定し、問題は仲介機関に起因するものであり、銀行自体ではないと述べています。

据慢雾官方消息，该机构已发现 HitBTC 交易所存在潜在严重安全漏洞。SlowMist 表示已通过私信方式提前向 HitBTC 披露相关信息，但尚未收到回应。公式の情報によると、SlowMistはHitBTC取引所に潜在的な重大なセキュリティ脆弱性が存在することを発見しました。SlowMistは、HitBTCに関連情報を事前にプライベートメッセージで開示したが、まだ返答を受け取っていないと述べています。

Trust Wallet 公式が安全警告を発表しました。Trust Wallet ブラウザ拡張機能の 2.68 バージョンに安全上の脆弱性が確認されました。2.68 バージョンを使用しているユーザーは、直ちにその拡張機能を無効にし、2.69 にアップグレードしてください。公式の Chrome ウェブストアリンクからアップグレードを行ってください。また、モバイル版のみを使用しているユーザーおよび他のすべてのブラウザ拡張バージョンは影響を受けません。チームはこの問題に積極的に取り組んでおり、最新の更新情報をできるだけ早く共有します。

据 The Block 报道，加密预测市场平台 Polymarket 于 12 月 24 日确认，多名用户账户因第三方认证提供商的安全漏洞而遭到黑客攻击。受影响用户在社交媒体上报告，即使启用了双重认证，资金仍被清空。该问题似乎与 Magic Labs 提供的电子邮件登录服务有关，这是许多首次使用加密货币的用户常用的注册方式。Polymarket 表示已解决此安全问题，目前无持续风险，但未透露受影响用户数量及损失金额。

慢雾は暗号取引所ICRYPEX Globalに安全通知を送信し、潜在的な重大な脆弱性を発見したと述べています。慢雾はICRYPEX Globalに対し、今すぐ連絡を取り、今後の手順を調整するように促しています。

Uniswap は Cantina で最大 1550 万ドルの新しいバグ報奨プログラムを開始し、研究者が Uniswap プロトコル、Uniswap Web インターフェース、バックエンドサービス、モバイルおよび拡張ウォレット、インフラストラクチャ内のセキュリティ脆弱性を見つけて報告することを奨励します。このプログラムでは、脆弱性の深刻度に応じて報酬が提供され、重大、高リスク、中程度、低リスクの4つのレベルに分類され、それぞれの最高報酬は 1550 万ドル、100 万ドル、10 万ドル、5 万ドルとなっています。

ChainCatcher のメッセージ、ビットコインブリッジプロトコル Garden Finance が X プラットフォームで発表し、ある "ソルバー（solver）" にセキュリティの脆弱性が存在することを検出したため、セキュリティ脆弱性の調査を行うことになり、現在 APP 機能を一時的に停止しています。影響はソルバー自身に限られ、ユーザーの資金やプロトコルにはリスクがないとのことです。今後、さらなる情報をできるだけ早く公開する予定です。以前の情報によると、"オンチェーン探偵" ZachXBT が個人チャンネルで Garden Finance が攻撃を受け、550 万ドル以上の損失を被った疑いがあると発表しました。彼のチームは攻撃者に対して、10% のホワイトハット報酬を提供する意向を示すオンチェーンメッセージを送信しましたが、この件についてはまだ公にコメントしていません。

ChainCatcher のメッセージ、CrediX の公式は疑わしいセキュリティ脆弱性が発生したと発表し、現在調査中であり、詳細をできるだけ早く発表する予定です。リスクを防ぐために、CrediX はウェブサイトを停止し、ユーザーの入金を禁止しました。ユーザーは操作が必要な場合、契約を通じて引き出してください。以前の報道、Cyvers Alerts は Sonic ネットワーク上で CrediX に関与する複数の疑わしい取引を検出しました。

ChainCatcher のメッセージによると、Starknet エコシステムプロジェクト zkLend がソーシャルプラットフォームで発表し、このプロジェクトを段階的に終了することを発表しました。公式は、この決定が軽率なものではないと述べています。過去数ヶ月間、zkLend が直面したセキュリティ脆弱性の事件はユーザーの信頼を大きく揺るがし、最近の ZEND トークンが Bybit や KuCoin などの主要な取引所から上場廃止されたことが、トークンの流動性とアクセス可能性をさらに制限しました。これらの変化により、zkLend は新しいビジネスを展開するためにリソースを効果的に配分することが難しくなりました。現在の状況を鑑みて、zkLend は残りの 20 万ドルの国庫資金をユーザー補償基金に使用することが、通貨市場を再開することや開発を続けることよりも責任ある意識と現実的な意味を持つと考えています。チームは引き続きオンラインの状態を維持し、資産の回収作業を全力で進めていきます。

ChainCatcher のメッセージ、SlowMist がセキュリティ警告を発表：Meta Pool に関連する潜在的な疑わしい活動が検出されました。根本的な原因は、_deposit 関数が書き換えられたことで、トークンを移動することなく mint 関数を通じて任意のコインを鋳造できるようになったためです。コミュニティは警戒を怠らないようにしてください。

ChainCatcher のメッセージによると、Cork Protocol の共同創設者 Phil Fogel が X プラットフォームで投稿し、脆弱性を調査中であり、すべての契約が一時停止されていることを報告しました。今後の情報については随時報告される予定です。ChainCatcher 以前の報道によると、Cyvers Alerts が X プラットフォームで投稿し、システムが Cork Protocol が攻撃を受けている疑いを検出し、約 1200 万ドルの損失が発生したと報告しました。

ChainCatcher のメッセージ、多署名ウォレットプロトコル Safe がツイートで述べたところによると、ByBit の言によれば、Safe{Wallet} UI に表示される取引情報は正しいが、チェーン上で全ての有効な署名を持つ悪意のある取引が実行されたとのこと。Safe のこれまでの調査結果は以下の通りです：コードベースの脆弱性は発見されていない：Safe コードベースを徹底的にチェックした結果、脆弱性や改ざんの証拠は見つかりませんでした。悪意のある依存関係は発見されていない：Safe コードベースに取引フローに影響を与える悪意のある依存関係（つまり、サプライチェーン攻撃）が存在する兆候はありません。ログにはインフラへの不正アクセスは検出されていません。他の Safe アドレスは影響を受けていません。前述の通り、Safe はプラットフォームの絶対的な安全性を確保するために、Safe{Wallet} 機能を一時的に停止しました。調査では Safe{Wallet} フロントエンド自体が攻撃を受けた証拠は見つかっていませんが、徹底的な審査が行われています。

ChainCatcher のメッセージによると、フィデリティは最近、メイン州の司法長官に文書を提出し、77,099 人の顧客がデータ漏洩の影響を受けたと述べており、これはその 5,150 万人の顧客基盤の一部に過ぎません。同社は、8 月 17 日から 19 日の間に、攻撃者が最近設立した 2 つの顧客アカウントを利用して顧客の名前やその他の個人識別情報を取得したと述べています。8 月 19 日、フィデリティがこの脆弱性を初めて発見した際に、無許可のアクセスは終了しました。同社は、「外部のセキュリティ専門家」の支援を受けてこの問題を解決したと述べています。フィデリティは、第三者がフィデリティのアカウントにアクセスしたことはないと強調しています。フィデリティは、影響を受けたユーザーに対して、個人の財務状況に影響を与える可能性のある異常な活動を発見するために、2 年間の無料クレジット監視および身分回復サービスを提供すると述べています。

ChainCatcher のメッセージによると、VUSD は Telegram チャンネルで、Onyx Protocol がセキュリティの脆弱性に直面し、1300 万ドル以上の VUSD が盗まれたと発表しました。事件発生後、スマートコントラクトは一時停止され、現在 VUSD のコードベースと準備金には脆弱性がないことが確認されています。ハッカーはその後、盗まれた VUSD を流動性プールに販売し、二次市場の流動性が約 150 万ドル失われました。悪意のある行為者はサービス条項に基づきブラックリストに登録され、調査が終了次第、VUSD スマートコントラクトサービスは再開され、参加者はアービトラージを続けることができます。VUSD は依然として過剰担保の資産によって完全にサポートされており、機関ユーザーは市場価格で VUSD を償還および発行することができます。VUSD は Onyx DAO および関連当局と協力して攻撃者を特定し、今後小売償還に必要なライセンスを探求する計画です。報告によると、Onyx の盗難の影響で、VUSD は一時的にペッグを外れ 0.6599 ドルまで下落しました。

ChainCatcher のメッセージによると、SlowMist はソーシャルプラットフォームで先週（7月1日〜7月7日）の暗号分野のセキュリティレポートを発表し、その期間中に合計900万ドル以上の損失が発生しました。具体的な事件の種類と損失状況は以下の通りです：1、アカウントの盗難：Interlay（損失不明）；Sydney Sweeney（損失不明）；2、情報漏洩：Authy（損失不明）；Evolve Bank & Trust（損失不明）；3、セキュリティの脆弱性：Bittensor ウォレット（損失 800 万ドル）4、Rug Pull：偽の TRUMP（MAGA）（損失 957,552 ドル）；5、再入攻撃：MintRisesPrices（損失 59,000 ドル）。

ChainCatcher のメッセージによると、ブロックチェーンセキュリティ機関 CertiK は、Kraken 取引所で一連の深刻な脆弱性を発見したとソーシャルプラットフォームで発表しました。これらの脆弱性は、数億ドルの潜在的損失を引き起こす可能性があります。CertiK の調査によると、Kraken の入金システムは異なる内部転送状態を効果的に区別できず、悪意のある行為者が入金取引を偽造し、偽の資金を引き出すリスクが存在します。テスト中に、数百万ドルの偽の資金が Kraken アカウントに入金され、100 万ドル以上の偽の暗号通貨が有効な資産に変換されて引き出される可能性があり、Kraken システムは何の警告も発しませんでした。CertiK が Kraken に通知した後、Kraken は脆弱性を「深刻」（Critical）として分類し、問題を初期的に修正しました。しかし、CertiK は、Kraken のセキュリティチームがその後、CertiK の従業員に対して脅迫し、不合理な時間内に不一致の暗号通貨を返済するよう要求し、返済先のアドレスを提供しなかったと指摘しています。ユーザーの安全を守るために、CertiK はこの件を公表し、Kraken に対してホワイトハッカーへのいかなる脅威も停止するよう呼びかけ、リスクに対処するための協力を強調し、Web3 の未来を共に守ることを訴えました。

ChainCatcher のメッセージ、GAMEE Token がツイートしたところによると、Polygon 上の GMEE トークン契約が数時間前に無許可の GitLab アクセスを受け、6 億枚の GMEE トークンが盗まれ、その後攻撃者はトークンをイーサリアムと MATIC に交換しました。公式はこの脆弱性が専有チームのトークン準備金にのみ影響を与え、コミュニティが保有する資産は盗まれていないと述べています。現在、チームはトークン契約への無許可のアクセスをすべて遮断しています。

ChainCatcher のメッセージによると、GoPlus はソーシャルメディアでリスク警告を発表し、Chrome の高危険度ゼロデイ脆弱性（CVE-2024-0519）が修正されたことを示しています。ユーザーは最新バージョンに更新するようにしてください。報告によると、この脆弱性は攻撃者がメモリバッファの外にあるデータにアクセスするために悪用され、機密情報を取得したり、クラッシュを引き起こしたり、他の脆弱性と組み合わせてコードを実行したりする可能性があります。

ChainCatcher のメッセージによると、Lido の公式は、過去 24 時間以内に Lido DAO の貢献者に対して、イーサリアム上の Lido のアクティブノードオペレーター（InfStones）に影響を与えるプラットフォームの脆弱性が存在することが通知されたと述べています。この脆弱性は、過去数ヶ月のいずれかの時点で悪用されました。この脆弱性は、2023 年 7 月にセキュリティ研究者 dWallet Labs によって InfStones に報告されました。ノードオペレーターは、脆弱性が修正されたと発表しました。この脆弱性は、Lido プロトコルとは無関係な外部攻撃者によって、25 の検証サーバーへのルートアクセス権が露出する可能性があることに関係しています。現在、貢献者が Lido 検証者に関連するサーバーおよび/またはキーを影響を受けたシステムの範囲に含めたかどうかは不明です。Lido DAO の貢献者は、上記の脆弱性について以下の結論を出しました：この脆弱性によってキーが漏洩した兆候はない。しかし、予防措置として、InfStones はすべての検証者から自発的に撤退し、新しいキーにローテーションすることを決定し、DAO の投票を待っています。撤退した検証者からのすべての ETH は、引き出しプロセスを通じて Lido プロトコルに戻され、その後、バッファ内の利用可能なキーに再ステーキングされます。