盗まれた

慢雾 SlowMist は安全警報を発表し、@redhat-cloud-services に関連するソフトウェアパッケージをターゲットとした活発な npm サプライチェーン攻撃を検出しました。現在、31以上のパッケージが影響を受けていることが確認されており、週のダウンロード数は約 116,000 回、300 以上の GitHub リポジトリに盗まれた認証情報が存在します。この攻撃手法は以前の "Shai-Hulud" npm 攻撃と非常に類似しており、認証情報の窃取、悪意のあるリポジトリの作成、自動化された秘密の漏洩が含まれます。現在も新たな疑わしいリポジトリが継続的に出現しており、攻撃が続いていることを示しています。開発者は引き続き感染しています。潜在的な危害には、GitHub/npm トークンの盗難、AWS/GCP/Azure クラウド認証情報の漏洩、SSH キーと Kubernetes 秘密の収集、ローカル環境およびウォレットデータの漏洩、悪意のあるリポジトリの作成および持続的な操作、さらにはトークンが取り消された後に破壊的な行動を引き起こす可能性があります。影響を受けた @redhat-cloud-services パッケージのバージョンを直ちに削除またはダウングレードし、CI/CD ワークフローと依存関係のインストールを全面的に監査し、すべての GitHub、npm、クラウドサービス、SSH およびウォレット関連のキーをローテーションし、ログを保持し、クリーンなイメージから露出した開発者マシンまたは Runner を再構築し、常に高い警戒を維持することをお勧めします。

The Defiant の報道によると、Kelp DAO のクロスチェーンブリッジ攻撃事件で約 2.2 億ドルの未凍結資金がハッカーによってほぼすべて洗浄されました。オンチェーンアナリストの Arkham Intelligence の追跡によれば、元の攻撃者のウォレットには約 170 万ドルしか残っていません。このハッカーは北朝鮮と関連があり、4 月に LayerZero に対して 2.92 億ドルのクロスチェーンブリッジ攻撃を仕掛けました。資金は THORChain、Wasabi、Tornado Cash、Umbra などのプライバシーツールを通じて移転されました。4 月 20 日に Arbitrum セキュリティ評議会が凍結した約 7100 万ドルのイーサリアムが現在唯一回収可能な部分です。LayerZero が 5 月 18 日に発表した報告書では、攻撃を北朝鮮の TraderTraitor 組織に帰しています。Kelp は Chainlink CCIP 及び DeFi United プログラムへの移行を通じて約 11.6 万枚の rsETH を回復し、Aave セキュリティモジュールは約 1.9 億ドルの不良債権を吸収しました。

Specter の投稿によると、ChangeNOW と共同で Gravity Bridge から盗まれた資金の中から 9.1 万ドルを凍結しました。攻撃者はまだ大部分の資金を保持しており、移動していません。以前の情報によれば、Gravity Bridge のブリッジコントラクトの鍵が漏洩し、540 万ドルの資産が盗まれました。攻撃者が引き出した資産には、430 万ドルの USDC、274 枚の WETH（約 55.3 万ドルの価値）、43.4 万ドルの USDT、6.4 万ドルの PAYG が含まれています。関与したアドレスは 0x7B58...1F9 および 0x4d3c...A47 です。

Saturn財団はXで発表し、Squidハッキング事件に関連するアドレスをブラックリストに登録し、盗まれた資金を凍結したと述べました。影響を受けたユーザーは、Saturn公式Discordサーバーでチケットを提出できます。Saturnのいかなる契約やインフラも今回の事件の影響を受けていません。

暗号 KOL ユスフの監視によると、昨日ヨーロッパのステーブルコイン発行者 StabIR の EURR と USDR の2つの契約が攻撃を受け、1000万ドル以上の損失が発生しました。事件発生後、10万ドル以上の盗まれた資金が凍結され、USDR と EURR のペッグが20%以上外れました。

TONネットワーク拡張プロジェクトTACの発表によると、5月11日にTON-TAC資産ブリッジで安全事件が発生し、4日後に約80%の影響を受けた資産が返還されました。TACは本日、事後分析報告を発表し、事件の経緯を詳細に開示しました。脆弱性の根源は、ソーターソフトウェアにおける一度の検証の欠如にあります：攻撃者はTON上に偽造されたJettonウォレットを展開し、ソーターは送信者ウォレットのコードハッシュを検証しなかったため、偽造トークンを受け入れました。総損失は約286万ドルで、USDT、BLUM、tsTONが含まれています。公開呼びかけの後、約90%の資産が5月14日にTACが管理するマルチシグアドレスに返還され、残りの10%は攻撃者が保持しています。クロスチェーンブリッジは現在停止中で、監査機関とTONのパートナーが修正後のソーターソフトウェアの独立審査を完了するのを待っています。クロスチェーン操作は、修正ソフトウェアの検証が完了し、回収した資産とTAC財団トークンの準備金でギャップが埋められた後に再開されます。多方面の調整が必要なため、正確なタイムラインを提供することはできません。残りの資金ギャップはTAC財団の財庫が埋めることになり、ユーザーとプロトコルには財務的損失はありません。TACはユーザーに対し、公式の更新はこのアカウントとTelegramを通じてのみ発表されることを注意喚起しており、いかなる未請求の「回復」や「サポート」のプライベートメッセージは詐欺であるとしています。

派盾の監視によると、Adsharesのクロスチェーンブリッジの攻撃者は、プロジェクトのデプロイ者アドレスに256枚のETHを返還し、約54.07万ドルの価値があり、以前に盗まれた資金の約86%を占めています。以前、Adsharesのクロスチェーンブリッジは2026年5月17日に攻撃を受け、約62.8万ドルの損失を被りました。

PeckShield の監視によると、Verus の Verus-Ethereum Bridge がハッキングされ、損失資産には 103.6 枚の tBTC、1625 枚の ETH および 14.7 万枚の USDC が含まれています。ハッカーはその後、盗まれた資産を約 5402.4 枚の ETH に交換しました。攻撃者のアドレスは約 14 時間前にミキシングプロトコル Tornado Cash を通じて 1 枚の ETH の初期資金を得ました。

慢雾余弦はXプラットフォームで、Verusが盗まれた理由は攻撃者が偽のMerkle証明を構築し、VerusのEthereumブリッジ（未公開）を通過したため、資金（ETH/tBTC/USDC）を無事に引き出した可能性があると発表しました。具体的な詳細は再確認が必要です。

公安部刑侦局の公式アカウントが「未成年者を狙ったネット詐欺に警戒せよ」と題した記事を発表し、「ゲームによる誘導+公的機関の偽装+仮想通貨のマネーロンダリング」を典型的な特徴とする新型のネット詐欺の連鎖を明らかにしました。不法分子はゲームやソーシャルプラットフォームを通じて広告を掲載し、未成年者に友達を追加させ、脅迫などの手段で親のアカウントから資金を引き出します。得た金は、ブラックマーケットやグレー市場のプラットフォームで分割・引き出された後、仮想通貨を購入します。これらの仮想通貨は地域の制限を受けず、静かに海外の詐欺拠点に戻り、資金の国境を越えた「物理的隔絶」を完了させます。公安部刑侦局は、公的機関がオンラインでの捜査を行うことは決してなく、決して脅迫して料金を引き落とすことはなく、決してパスワードや確認コードを要求することはないと警告しています。

アメリカのニューヨークの裁判官マーガレット・M・ガーネットは水曜日に、Kelp DAOのハッキング事件に関連する7100万ドルのETHを凍結解除することを目的としたAaveの緊急申請に対する裁定を延期し、両者に6月5日の公聴会前に補足意見書を提出するよう求めました。Aaveは、今回のハッキング事件の資産回収作業を支援するために、Arbitrumで凍結された7100万ドルのETHを取り戻そうとしています。Kelp DAOが受けたハッキング攻撃の損失は2.93億ドルに達し、今年のDeFi分野で最も深刻なセキュリティ事件の一つです。しかし、アメリカの法律事務所Gerstein Harrow LLPは5月初めに裁判所に対して差し止め命令を提出し、クライアントが上記の資金に対して権利を有すると主張しました。Aaveは直ちに緊急動議を提出し、凍結解除を要求し、資金が適時に解放されない場合、ユーザーの清算が発生し、全体のDeFi市場に影響を及ぼす可能性があると警告しました。ガーネット裁判官は裁定の中で、Aaveが差し止め命令が維持された場合にユーザー資金がどのように「複利損失」を生じるかを十分に説明できなかったと指摘しました。彼女は同時に、事件が複雑であり、被害者が一定のリスクに直面していることを認め、両者に対して六つの重要な問題について補足説明を求めました。これには、ハッキング攻撃の取引がニューヨーク州の保護原則に従うか、詐欺と盗難の法律的な違い、ハッカーが盗まれた資産に対してどのような権利を有するか、凍結資産の債権の優先順位を決定するために適用される法律、推定信託が適切な救済手段であるか、AaveまたはArbitrumが個々の被害者を特定し、資産を比例配分して返還できるかが含まれます。両者は5月22日までに補足意見書を提出する必要があります。同時に、Kelp DAOの全体的な賠償作業が進行中です。KelpとAaveは火曜日に、ハッカーが保有していたrsETHがArbitrum上での焼却を完了したと発表しました。約2.78億ドルの損失トークンは、今後2週間以内にAave Recovery Guardianのマルチシグウォレットの資金を通じて回復される予定です。関連するスマートコントラクトが再活性化されると、rsETHのすべての機能が正常に戻ります。

TrustedVolumesはXプラットフォームで攻撃を受けたことを確認し、現在までに盗まれた資金が3つのアドレスにそれぞれ保管されていることを明らかにしました。総額は約670万ドルです。そのうち2つのアドレスにはそれぞれ約300万ドルの資産があり、もう1つのアドレスには約70万ドルの資産があります。また、TrustedVolumesは脆弱性報酬および双方が受け入れ可能な解決策について攻撃者と建設的なコミュニケーションを行う意向を示しています。

市場の情報によると、プエルトリコに住む匿名の暗号巨人がCoinbaseを提訴し、同取引所が2024年のハッキングで盗まれた資金の返還を拒否したと主張しています。この訴訟は2024年8月のセキュリティ脆弱性に非常に似ており、その際、ある暗号ユーザーがフィッシング攻撃を受けて5500万ドル以上のDAIステーブルコインを失いました。原告は、攻撃発生後に複数のオンチェーン調査会社を雇って盗まれた資金を追跡し、その資金がCoinbaseのアカウントに追跡されたと述べています。Coinbaseは2024年12月初旬に関連資金をロックしたことを確認しましたが、調査のためにその資金を凍結しました。しかし、1年半後、Coinbaseは未だに資金を返還せず、裁判所の命令がなければ解放しないと主張しています。この攻撃は最初にオンチェーン探偵のZachXBTによって特定され、ハッカーは「Inferno Drainer」プラットフォームを使用して偽のDeFi Saverログインページを作成し、被害者は誤って攻撃者にウォレットの制御権を渡してしまいました。

チェーン上の分析者Specterの監視によると、Wasabiプロトコルの攻撃者は、盗まれた資金をすべてTornado Cashに移し、約590万ドルの資産が集中混合操作を完了しました。チェーン上の分析によれば、この攻撃者および北朝鮮関連のハッカー組織（DPRK）は、最近Tornado Cashを使用してKelpDAOやLayerZeroを含む盗まれた資金のマネーロンダリングを継続しており、複数段階の複雑な資金流転パスを示しています。典型的なマネーロンダリングパスには、資金が最初にWasabi Mixerに入って初期混合引き出しを行った後、クロスチェーンでEthereumに戻り、再度Tornado Cashに入って深く混合し、新しいウォレットに引き出して複数のアドレスに分散し、新しいウォレットにトークンを展開し、流動性を誘導して資金を購入し流動性資産を引き抜き、その後クロスチェーンでTron（USDT）システムに短期間滞在した後、OTC関連のウォレットに流れるという流れが含まれます。チェーン上の安全分析は、このモデルが最近の高頻度攻撃資金洗浄のテンプレートとなっており、「混合 + クロスチェーン + トークン化 + OTC出口」の組み合わせ構造を示していることを指摘しています。業界のセキュリティ担当者は、この種の攻撃が単一の盗難からシステム的な資金工学的マネーロンダリングパスに移行しており、追跡の難易度が著しく上昇していることを警告しています。

Arkham の監視によると、Kyber Network のハッカーが盗まれた資金を Tornado Cash に移動させています。このハッカー Andean Medjedovic は、2023 年末に KyberSwap から 4,880 万ドルを盗んだことがあり、以前には Indexed Finance を攻撃して 1,650 万ドルを盗んでいます。彼は 2025 年に FBI に起訴されました。

派盾の監視によると、KelpDAOの攻撃者は盗まれた資産の移転を開始しました：彼らは一部の盗まれたETHをEthereumメインネットからAcross Protocolを通じてArbitrumに移動し、その後USDTに交換し、LayerZeroを介してTRON DAOエコシステムにルーティングしました。この経路は、攻撃者がマルチチェーンブリッジとステーブルコインの変換手段を通じて資金の分散と洗浄を行っていることを示しています。今後の資金の流れは引き続き追跡する必要があります。

プライバシーポリシー Umbra は、攻撃者が最近のセキュリティ事件で盗まれた資金を移転するのを防ぐために、ホスティングされたフロントエンドウェブサイトを閉鎖しました。Umbra は、約 80 万ドルの資金がそのプロトコルを通じて移転されたと述べていますが、このプロトコルは受取人の身元を隠すためのものであり、関連する取引は依然としてオンチェーンで追跡可能です。この措置は、Kelp プロトコルが攻撃を受け、2.8 億ドル以上の損失を被った後に行われました。Umbra は、資産回収作業に影響を与えないことが確認された後にフロントエンドサービスを再開すると述べていますが、ユーザーがスマートコントラクトや自己ホスティングされたフロントエンドを通じてプロトコルを使用し続けることを防ぐことはできません。

チェーン上のアナリストSpecter（@SpecterAnalyst）の監視によると、北朝鮮のハッカーグループTraderTraitorは、北京時間の今日未明にKelpDAOから盗まれた資金のマネーロンダリングを開始しました。これは、Arbitrum Councilが30.7 ETH（約7100万ドル）を凍結してからわずか3時間後のことです。攻撃者は残りの資金を3つのウォレットに分割し、それぞれ約2.5万ETH（約5760万ドル）、2.57万ETH（約5920万ドル）、および2.5万ETH（約5790万ドル）を保有しています。その中で、3つ目のウォレットはすぐにマネーロンダリングを開始し、現在は約3800ETH（約800万ドル）しか残っていません。資金は主にTHORChainを介してビットコインネットワークにブリッジされており、約99%の資金がこのプロトコルを通過したため、THORChainの当日の取引量は2.11億ドルに急増し、30日の平均値の10倍を超え、約18.9万ドルの手数料が発生しました。今回のマネーロンダリングの過程で、資金はBTC Turk（2025）およびBybit（2025）のハッカー事件からの不正所得と混合されており、現在ビットコインネットワーク上で追跡されている関連資金は合計約442BTC（約3300万ドル）に達しています。全体のマネーロンダリングプロセスでは、400以上のアドレスが使用されています。