脆弱性

Maple Finance は、Web アプリケーションにセキュリティの脆弱性が存在することを発表しました。この問題は修正されましたが、慎重を期すために、修正が完全に完了するまで Web アプリケーションを一時的に閉鎖します。チームは、スマートコントラクトには影響がなく、ユーザーの預金は安全であると述べています。チームは、ウェブアプリケーションが再開された後にユーザーに通知します。

跨チェーン流動性プロトコル CrossCurve は、$EYWA トークンのセキュリティ更新について発表し、脆弱性の悪用を成功裏に制御したと述べています。ハッカーは Ethereum ネットワーク上のブリッジから $EYWA を抽出しましたが、XT Exchange のみが Ethereum の預金を保持しており、すでに凍結されているため、使用することはできません。ユーザーの $EYWA トークンは安全であり、Arbitrum ネットワーク上のすべてのトークンも含まれています。追加の安全のために、チームは $EYWA を取引するすべての中央集権取引所に連絡を取り、ハッカーが盗まれたトークンを販売または使用できないようにしています。盗まれた $EYWA トークンは流通に入ることができず、トークン供給に影響を与えません。公式チームは、今回の脆弱性の詳細、他の盗まれたトークン、およびこのような脆弱性が再発しないようにする方法について徹底的な調査を行っています。ChainCatcher の以前の報道によると、クロスチェーン流動性プロトコル CrossCurve はスマートコントラクトの脆弱性により攻撃を受け、約 300 万ドルが盗まれました。

据 The Block 报道，跨链流动性协议 CrossCurve（原名 EYWA）确认其跨链桥协议"正遭受攻击"，原因是其智能合约中的一个漏洞被利用，导致约 300 万美元资金被跨多个网络窃取。区块链安全机构 Defimon Alerts 发现，此次攻击的攻击途径是 CrossCurve 的 ReceiverAxelar 合约中的网关验证绕过漏洞。分析显示，任何人都可以使用伪造的跨链消息调用该合约的 expressExecute 函数，从而绕过预期的网关验证，并触发协议 PortalV2 合约上的未经授权的代币解锁。该协议由 Curve Finance 创始人 Michael Egorov 支持，此前已融资 700 万美元。

X 上の「ハッカー」として知られる Jamieson O'Reilly は、過去数時間にわたり Moltbook に連絡を試みたと投稿しました。このプラットフォームは、その完全なデータベースを公開し、保護措置を講じていませんでした。漏洩した情報には、誰でも任意の代理としてコンテンツを公開できる秘密の API キーが含まれています。Jamieson O'Reilly は、影響を受けた対象には X プラットフォームで 190 万人のフォロワーを持つ AI 分野の著名人 Karpathy が含まれていること、そして現在プラットフォーム上で見えるすべての代理が含まれていることを指摘しました。現在、誰でもこの脆弱性を利用して他人の名義で虚偽の AI セキュリティ発言、暗号通貨詐欺の宣伝、または扇動的な政治声明を発表する可能性があります。Jamieson O'Reilly は、関連する人々に創設者に連絡してこの露出問題を解決するよう呼びかけています。

BlockSecは、クローズドソースの契約に関する重大な脆弱性分析を発表しました。彼らは、Ethereum、Arbitrum、Base、BSC上に展開されたSwapNetとAperture Financeの被害契約に対する一連の疑わしい取引を検出し、総損失は1700万ドルを超えています。根本的に言えば、これら二つの事件の根源は非常にシンプルです。被害契約は入力検証が不十分であり、任意の呼び出しの脆弱性が存在します。攻撃者はこの脆弱性を利用して、既存のトークンの承認を悪用し、transferFromを通じて資産を盗むことができます。SwapNetとAperture Financeの事件は異なるプロトコルとブロックチェーンに影響を与えましたが、両者の根本的な問題は複雑ではありません：ユーザーが制御する基盤の呼び出しと、トークン承認を持つ契約における入力検証の不十分さです。

Aperture Finance は X プラットフォームで、Aperture V3/V4 コントラクトに影響を与える脆弱性の悪用事件を検知したと発表しました。新たな承認の発生を防ぐため、フロントエンドアプリケーションでコア機能を停止し、セキュリティパートナーと共に事件の根本原因を調査しています。ウォレットの安全を確保するため、以下のコントラクトアドレスに対するすべての承認を直ちにイーサリアムメインネットで取り消してください：0xD83d960deBEC397fB149b51F8F37DD3B5CFA8913。以前の情報では、Aperture Finance が攻撃を受け、約 367 万ドルの損失を被ったことが確認されています。

市場の情報によると、数時間前にイーサリアム、Arbitrum、Base、BSCに展開された被害契約に対する一連の疑わしい取引が発見されました。これらの取引は、2名の作成者が展開した契約が攻撃を受け、総損失は1700万ドルを超えています。被害契約はオープンソースではなく、任意呼び出し機能の脆弱性が存在するようです。攻撃者は既存のトークンの承認を悪用し、transferFrom操作を実行して資産を盗みました。影響を受けた展開者：0xbeef63AE5a2102506e8a352a5bB32aA8B30B3112------損失約367万ドル；0x9cb8d9BaE84830b7F5F11ee5048c04a80b8514BA------損失約1,341万ドル。

BNB Chainの成長執行ディレクターNina Rongは、BNB Chain Coinmarketcapアカウントの盗難事件がCoinmarketcapコミュニティプラットフォームに以前存在していた脆弱性に起因することを発表し、アカウントの安全を確保するために直ちに措置を講じ、再発防止のためにセキュリティ対策を強化したと述べました。

据慢雾科技首席信息安全官 23pds 披露，Linux 平台的 Snap Store 应用商店出现新型安全漏洞，黑客通过劫持过期域名接管应用发布者账号，将恶意代码植入加密钱包应用。攻撃者は Snap Store において関連するドメインが期限切れの開発者アカウントを監視し、登録し、これらのドメインのメールアドレスを利用してパスワードリセットをトリガーし、長期的な信頼を築いた発行者のアイデンティティを乗っ取ります。改ざんされたアプリは Exodus、Ledger Live、または Trust Wallet などの有名な暗号財布を装い、インターフェースは正規版とほぼ変わりません。現在、storewise[.]tech と vagueentertainment[.]com の2つの発行者ドメインが乗っ取られたことが確認されています。これらの悪意のあるアプリはユーザーに「ウォレットの復元フレーズ」を入力させるよう誘導し、一旦ユーザーが提出すると、敏感な情報が攻撃者のサーバーに送信され、デジタル資産が盗まれることになります。

据 The Hacker News 报道，Cyata 研究员披露 Anthropic 维护的 mcp-server-git 存在三项严重安全漏洞（CVE-2025-68143/44/45），可被利用执行路径穿越与参数注入，甚至实现远程代码执行。这些漏洞可通过提示注入被武器化，攻击者仅需控制 AI 助手读取恶意内容即可触发攻击。漏洞已在 2025 年 9 月与 12 月版本中修复，官方已移除 git_init 工具并增强路径校验，建议用户尽快更新至最新版。

Anthropic が管理する公式 mcp-server-git に 3 つのセキュリティ脆弱性が発見されました。これらの脆弱性は、プロンプトインジェクション攻撃手法を通じて悪用される可能性があり、攻撃者は被害者のシステムに直接アクセスすることなく、悪意のある README ファイルや損なわれたウェブページを介して脆弱性を引き起こすことができます。これらの脆弱性には、CVE-2025-68143（制限のない git_init）、CVE-2025-68145（パス検証のバイパス）、および CVE-2025-68144（git_diff におけるパラメータインジェクション）が含まれます。これらの脆弱性をファイルシステム MCP サーバーと組み合わせて使用すると、攻撃者は任意のコードを実行したり、システムファイルを削除したり、任意のファイル内容を大規模言語モデルのコンテキストに読み込むことができます。Cyata は、mcp-server-git が repo_path パラメータに対してパス検証を行っていないため、攻撃者がシステムの任意のディレクトリに Git リポジトリを作成できると指摘しています。さらに、.git/config にクリーンアップフィルターを設定することで、攻撃者は実行権限なしにシェルコマンドを実行することができます。Anthropic は 2025 年 12 月 17 日に CVE 番号を割り当て、修正パッチを提出しました。ユーザーには mcp-server-git を 2025.12.18 以降のバージョンに更新することを推奨します。

a16z Cryptoの上級セキュリティ研究員Daejun Parkは、DeFiプロトコルが「コードは法律」という考え方から「規範は法律」へと移行し、より原則的なセキュリティアプローチを採用するよう呼びかけました。具体的な方法は、標準化された規範と不変性チェック（invariant checks）を通じてハードコーディングされたセキュリティ保障を実施し、事前に定義されたルールに違反する取引を自動的にロールバックすることです。Parkは、ほぼすべての既知の脆弱性がこの種のチェックを引き起こす可能性があり、実行プロセス中にハッカー攻撃を阻止することが期待できると指摘しています。Slowmistの報告によると、昨年ハッカーはコードの脆弱性を通じて6.49億ドル以上を盗みました。2021年から運営されている老舗プロトコルBalancerでさえ、昨年11月にコードの脆弱性により1.28億ドルの損失を被りました。開発者たちは、ハッカーがますますAIを使用して脆弱性を探すことを懸念しています。Immunefiのセキュリティ責任者は、不変性チェックがガスコストを増加させ、ユーザーが流出する可能性があるため、万能薬ではないと指摘しています。Asymmetric Researchの共同創設者は、多くの脆弱性に対して攻撃を検出しつつ誤報を出さない不変性ルールを作成することが難しいと述べています。

据 CoinDesk 报道，Immunefi CEO Mitchell Amador 在最新采访时表示，尽管加密货币损失持续上升，但链上安全性正在提高。2025 年是有记录以来黑客攻击最严重的一年，但最大的安全故障并非源于链上代码，而是源于 Web2 的操作失误，如密码、私钥、受感染的设备和人为错误。随着代码变得越来越难以被利用，2026 年加密安全的主要攻击面将是人，人的因素已成为 Web3 参与者必须优先考虑的薄弱环节。该观点与 Chainalysis 的报告发现一致。报告显示，2025 年因诈骗和欺诈造成的加密货币损失约 170 亿美元。其中，冒充身份的诈骗同比增长 1400%，而由 AI 驱动的诈骗盈利能力比传统方案高出 450%。

据官网信息，Starknet 生态 Perp DEX Paradex 宣布进行临时维护，目前已过预计维护完成时间，但协议仍未上线。据社区反馈，部分用户在 Paradex 上的永续合约交易因异常高额的资金费率而遭强制平仓。公开信息显示，Paradex 是去中心化永续衍生品 Layer2 应用链，会把加密机构流动性平台 Paradigm 的流动性与 DeFi 的透明度和自我托管相结合，将作为基于 Starknet 开发者堆栈的自己的链运营，并且是 StarkWare 和 Paradigm 之间持续六个月合作的结果。

据金十报道，美联储理事鲍曼表示，对劳动力市场的脆弱性感到担忧。

Genius は X プラットフォームで発表し、コミュニティのフィードバックに基づくプラットフォームの取引問題について、現在一部の脆弱性が修正されました。修正内容は以下の通りです：Gas 料金の大幅な削減：EIP-1559 におけるオンチェーン Gas 制限の過大見積もりおよび maxPriorityFeePerGas の設定が高すぎる問題を修正しました；BNB クロスチェーン交換の最適化：Gas 不足による取引失敗を防ぐために少量の Gas バッファを追加しましたが、Gas 料金は大幅に増加しません；EIP-7702 を使用してクロスチェーン取引費用のスポンサー問題を修正：プロセスを更新し、第三者がスポンサーとなるクロスチェーン取引を正しく実行できるようになりました（旧版の実行問題は発生しなくなりました）。

区块链セキュリティ機関 BlockSec は、Arbitrum 上に展開された FutureSwap プロトコルが4日前に初めて攻撃を受けた後、再びハッカーによって再入攻撃の脆弱性を利用され、約 7.4 万ドルの損失を被ったと発表しました。攻撃者は3日前に再入関数 0x5308fcb1 を通じて LP トークンを過剰に発行し、クールダウン期間が終了した後に過剰担保資産を償還して利益を得ました。

SVM Layer 1 プロジェクト Fogo は X プラットフォームで次のように発表しました："私たちは、第一シーズン Flames EVM ウォレットの分が正しく表示されないという脆弱性を認識しました。現在、これについて調査を行っていますので、24時間後に再度ご確認ください。問題が早期に解決された場合は、適宜説明を更新します。"

据 Cointelegraph 报道，開発者は木曜日に GitHub に投稿した記事で、ビットコインのステーキングプロトコル Babylon に新たに明らかにされたソフトウェアの脆弱性が、悪意のあるバリデーターによってネットワークの一部のコンセンサスプロセスを破壊し、重要な時期にブロック生成速度を潜在的に遅くする可能性があると述べています。この脆弱性は、Babylon のブロック署名スキーム、すなわち BLS 投票拡張スキームに影響を与え、これはバリデーターが特定のブロックに合意したことを証明するために使用されます。この脆弱性により、悪意のあるバリデーターは投票拡張を送信する際にブロックハッシュフィールドを故意に省略でき、これがネットワークのエポック境界期間中にバリデーターのコンセンサス問題を引き起こす可能性があります。ブロックハッシュフィールドは、コンセンサスプロセスにおいてバリデーターが実際に支持しているブロックを通知するために使用されますが、この脆弱性によりこのフィールドを省略することが可能になります。この脆弱性を利用することで、理論的には、悪意のあるバリデーターがステージ境界の重要なコンセンサスチェック中に他のバリデーターをクラッシュさせることができ、複数のバリデーターが影響を受けると、ブロック生成速度が遅くなることになります。現在のところ、この脆弱性が積極的に悪用されたという報告はありませんが、開発者は、解決しなければこの脆弱性が悪用される可能性があると警告しています。