脆弱性

DragonflyのパートナーであるHaseebは、最近修正されたZcashの脆弱性についてツイートで明確にしました。彼は、この脆弱性が修正される前に利用された場合（確率は非常に低いですが）、プライバシープールが偽のZECを鋳造する形で現れると述べました。攻撃者は迅速に売却する必要がありますが、市場では主に透明なZECが取引されているため、解読されていないプライバシーZECを主流の取引所で直接売却することはできません。したがって、損失は主にプライバシーZECを保有しているユーザーが負担し、透明なZECの保有者や価格発見にはほとんど影響を与えません。Haseebは、Zcashチームが次回のアップグレードで新しいターンスタイルメカニズムと全く新しいプライバシープールを導入し、プライバシープールが膨張していないことを検証することを強調しました。彼はまた、形式的検証技術に期待を寄せており、これは全業界のソフトウェアセキュリティを向上させるための重要な道であり、特にプライバシー協定にとって重要であると考えています。

THORChainのブログによると、ZECはTHORChainのラインアップにありますが、Zcashが最近公開した脆弱性のため、既存のパッチが統合者の正常な使用に影響を与えています。THORChainは、Bifrostモジュールのコードの一部を修正する必要があります。開発チームは修正の幅は非常に小さいと述べていますが、ZECのローンチ前に完了する必要があります。現在、Monero（XMR）は今月末にローンチ予定で、ZECはその後に続きます。

ZEC 財庫会社 Cypherpunkは X プラットフォームで ZEC トークン市場の変動に応じて発表し、すべてのソフトウェアには脆弱性が存在すると述べ、歴史的にビットコインは誤って「多くの」1,840 億 BTC を鋳造したことがあると指摘しました。しかし、これはブロックチェーン技術を放棄すべきだということではなく、形式的検証と証明可能な正確性を通じて安全性を強化すべきだとしています。Cypherpunkは、AI 技術の発展に伴い、脆弱性検出がより迅速かつ広範囲に行われるようになると強調しましたが、重要なのは悪意のある行為者よりも早く問題を発見できる人が誰であるかです。Zcashは、今後発表される更新を通じてこの能力を示すことができます。以前の報道によると、プライバシーコイン ZEC は無限増発を引き起こす可能性のあるセキュリティ脆弱性が発覚し、市場での売りが発生し、コイン価格は一時的に1日で50%以上下落しました。

BitMEXの共同創設者、MaelstromファンドのCIOアーサー・ヘイズ（@CryptoHayes）は、ZECのOrchard Poolが脆弱性攻撃を受けたため、全ての$ZECポジションを清算したと発表しました。ヘイズは、悪意のある鋳造の可能性は極めて低いものの、暗号学的な観点からそれが不可能であることを正式に証明することはできないと指摘しました。プライバシーの物語が求めるのは「完璧」であり、「高い確率の安全」ではないと述べました。また、今後の仮定が反証された場合、より低い価格で再度購入する可能性を排除しないとも言っています。現在、彼のチームは$WLDポジションを保持しており、強気の姿勢を維持しています。

テイラー・ホーンビーは2026年5月29日にZcashのOrchard資金プールに重大な偽造の脆弱性が存在することを発見しました。テイラー・ホーンビーはこの脆弱性をZcash Open Development Labに報告し、関係者は6月2日に修正を完了しました。この脆弱性は、Zcash Orchard内で秘密裏に無限の偽造ZECを作成するために悪用される可能性がありました。Orchardのプライバシー特性により、修正前にこの脆弱性が悪用されたかどうかを暗号学的に証明することはできません。脆弱性は2022年5月のOrchardの有効化以来存在しており、2026年6月1日に緊急修正が展開されるまで続いていました。テイラー・ホーンビーはAIツールの支援を受けて、完全なエクスプロイトを作成し、ローカルテスト環境で無限かつ検出不可能な偽造ZECを生成しました。現在、Shielded Labsは他のZcash開発者と協力して、誰でもZcashの供給の完全性を検証できるようにするネットワークアップグレード提案を探求しています。

The Block の報道によると、Ledger 傘下の Donjon セキュリティチームは、実験室環境下で精密レーザー攻撃を通じて Trezor Safe 7 に使用されている TROPIC01 チップのファームウェア検証メカニズムを回避し、攻撃者がデバイスの実物を持っている前提で未承認のファームウェアをロードできることを確認しました。チップメーカーの Tropic Square は、PIN 検証に使用される MAC-and-Destroy セキュリティメカニズムに追加の攻撃経路が存在することをさらに発見しましたが、強化版チップが 2026 年末に発売される前に詳細は公表しない予定です。Trezor は、PIN、リカバリーフレーズのバックアップ、および秘密鍵は決して単一のチップに保存されていないと述べており、パートナーに通知済みで、一般ユーザーは操作する必要はありません。現在、チップの MAINTENANCE モードをオフにすることで攻撃の実行可能性を低下させることができます。

Zcash（ZEC）財団の公式発表によると、独立したセキュリティ研究者のテイラー・ホーンビーが5月29日にZcashのOrchardゼロ知識証明回路に深刻な信頼性の脆弱性が存在することを発見し、Orchardプール内での二重支払いを許可する可能性があるとのことです。ZODLのコアエンジニアは数時間以内に問題を確認し、修正を開始しました。時間を稼ぐために、まずZebra 4.5.3の緊急ソフトフォークを通じて6月2日の午前中にOrchard操作を一時的に無効化し、最終的に本日Zebra 5.0を通じてNU6.2ハードフォークを有効化しました------北京時間の正午12:05に、メインネットはブロック高3,364,600で無事にアップグレードを完了し、修正された回路でOrchardを再度有効化し、脆弱性は永久に閉じられました。これはZcashが2016年にローンチして以来、セキュリティ問題によりプロトコルのアップグレードが発生したのは二度目であり、全過程で既知の悪用は発生しておらず、ネットワークの総量守衛メカニズムは総供給量が常に完全であることを確認し、ユーザーのプライバシーやSapling、透明な取引には影響がありませんでした。

Zcash財団は、共識レベルのセキュリティ脆弱性を修正するためにZebra 4.5.1バージョンの更新を発表し、すべてのノードオペレーターに即座にアップグレードすることを強く推奨しています。この脆弱性の番号はGHSA-2prc-cj5x-4443で、P2SHトランザクションにおけるsigop（署名操作数）カウントの誤りに関連しており、潜在的なコンセンサスフォークのリスクを引き起こす可能性があります。この修正は、昨日リリースされた4.5.0バージョンでの不完全な修正を訂正するものです。Zcash開発チームは、問題がsigopカウントロジックの異なる実装間の偏差に起因していることを示しており、これによりノードがトランザクションを検証する際に異なる結果を生成し、チェーン上のコンセンサスの一貫性に影響を与える可能性があると述べています。修正案は、Rust実装ロジックをロールバックし調整することで、プロトコルの期待される動作と一致させることを確保しています。Zcash財団は、現在この問題を回避する解決策は存在せず、4.5.1へのアップグレードがノードが正しいチェーンに留まり、潜在的なフォークリスクを回避する唯一の方法であると強調しています。

The Block の報道によると、Gnosis の共同創設者兼 CEO マーティン・コッペルマンは、Gnosis Pay に関連する Zodiac delay module が攻撃を受けていることを確認しました。攻撃者は、このモジュールを統合した Safe ウォレットから取引を開始することができます。Gnosis はリスクを制御するためにクロスチェーンブリッジのバリデーターに一時停止を要請しました。コッペルマンは、Gnosis が全てのユーザーの損失を負担し、ユーザーに対して EURe と GNO の緊急引き出しを求める以前の発表を削除すると述べました。ほとんどのユーザーが自力でコインを引き出せないため、チームは大部分の損失を制御するために努力しており、全てのユーザーに全額補償を確保することを目指しています。Gnosis は、今回の脆弱性が Gnosis Pay システム内に存在し、Safe のコアコントラクトには影響がないことを強調しました。

The Blockの報道によると、Sui財団は最近のメインネットの3回の中断に関する事故分析報告を発表し、先週の木曜日と金曜日に発生した3回のネットワーク中断をv1.72バージョンのアップグレードによって導入された2つの独立した脆弱性に起因するとしています。最初の中断は約6時間半続き、2回目と3回目はそれぞれ金曜日の朝と午後に発生しました。最初の2回の中断は、v1.72によって導入された「アドレス残高」機能が取引手数料の支払い方法の欠陥を露呈したことに起因しています。資金不足で取引がキャンセルされた場合でも、ネットワークはこれらの資金を支出し続け、負の残高が発生し、検証ノードの照合プロセスが崩壊しました。財団は、木曜日に緊急で推送された一時的な修正案に既知の中断リスクが含まれていることを認め、チームは迅速にチェーン上のサービスを復旧させるためにそのリスクを受け入れました。その結果、金曜日の朝にネットワークが再度中断しました。3回目の中断は、別の未公開のランダム状態の脆弱性によって引き起こされ、検証ノードが修正パッチをインストールするために再起動した際に発生しました。Suiはユーザーの資金がリスクにさらされたことはないと述べ、2つの脆弱性を修正し、停滞したエポックを強制的に終了させるメカニズムを構築しました。財団はまた、彼らの生産システムにアクセスできるAIエージェントが診断プロセスを大幅に加速させたと述べています。

DxSale.Network は X プラットフォームで以前のセキュリティ事件に対する声明を発表し、最近の脆弱性がバイナンススマートチェーン（BSC）で新たに導入された原子取引機能に起因していることを明らかにしました。この問題は 2021 年に導入された v1 ロック契約に影響を与えました。チームは問題の発生源を特定し、v2 及びそれ以上のバージョンのロック契約は完全に安全であり、Certik の監査を通過したと述べています。ユーザーは安心して、v2 及びそれ以上のロック資産が影響を受けないことを確認できます。

Zcash財団は、ノードクライアントZebra 4.5.0のバージョンアップデートを発表しました。今回のバージョンには、複数のセキュリティ修正が含まれており、その中には共通の重要な脆弱性と複数の高リスクなサービス拒否（DoS）問題が含まれています。すべてのノード運営者に対し、直ちにアップグレードすることを強く推奨します。今回のコア修正には、P2SHスクリプト解析におけるsigopカウントエラー（zcashdとのコンセンサスフォークを引き起こす可能性がある）、NU5ブロック検証キャッシュロジックの欠陥、透明アドレスの残高オーバーフローによるクラッシュリスク、さらに複数のRPCインターフェースおよびメモリプール処理におけるクラッシュとリソース枯渇の脆弱性が含まれています。さらに、一部の脆弱性は悪意のあるノードによって利用され、ノードがフリーズしたり、再起動ループに陥ったり、さらには永久に動作を停止する可能性があります。

SlowMist の監視によると、ONTR トークン契約は onlyOwner 修飾子にアクセス制御の脆弱性が存在し、49.4801 枚の WETH、約 9.8 万ドルの損失を引き起こしました。攻撃者 (0xe806...b760) はこの脆弱性を利用し、owner が address(0) の時に権限チェックを通じて transferOwnership() を呼び出し、攻撃者の契約を owner に設定しました。その後、desertJasper() を呼び出して隠れた残高をキューに追加し、さらに glenFlash() を呼び出して ashBud() を実行し、アドレスの残高を 1e30 基本単位増加させましたが、totalSupply は増加しませんでした。攻撃者は膨張したトークンを PancakePair (0xd46d...83fd) に移動し、swap() を通じて WETH に交換しました。

CryptoQuant のアナリスト MorenoDV_ が投稿した内容によると、ビットコインの最近の価格動向には危険な乖離が見られる。バイナンスのテイカーの買い入れ量は継続的に減少し、数ヶ月ぶりの低水準を記録しており、市場の積極的な買い意欲が明らかに減少している。一方で、バイナンスの資金調達率は再び正の範囲に回復しており、トレーダーがレバレッジを使ってロングポジションを増やしていることを示している。歴史的な傾向は、資金調達率が上昇し現物需要が同時に縮小することが、しばしば市場が後期の投機段階に入る信号であることを示している------レバレッジによって駆動される市場は現物資金の支えが不足しており、構造的に脆弱である。もし買い圧力が効果的に回復しなければ、現在の資金調達率の上昇は市場の強さではなく、潜在的なリスクをより反映している可能性がある。

慢雾の創設者余弦はXプラットフォームでSquidのセキュリティ事件について解説を発表しました。彼はサンプリングの結果、関連するSafeウォレットはすべてシングルサインで、オーナーも異なることを示しましたが、問題はプライベートキーにはなく、これらのSafeアドレスで使用されているモジュール（SquidRouterModule）に脆弱性が存在することにあります。攻撃者はメッセージを偽造し、関連する検証を簡単に回避して、後続の交換操作を開始し、ターゲットのSafeウォレット内の資金を移動させることができます。さらに、余弦は攻撃者の利益が蓄積されたアドレス情報も公開しました。以前の情報によれば、ある第三者のGnosis SafeモジュールがBaseとイーサリアム上で悪用され、約320万ドルの損失を引き起こしました。被害者はこの契約を信頼されたSafeモジュールとして追加した86のGnosis Safeです。この契約はBasescan上で「SquidRouterModule」として知られており、その後SquidはGnosis Safeに関連する脆弱性事件の影響を受けていないことを明らかにしました。

StablR の公式が X プラットフォームで発表し、傘下のユーロステーブルコイン EURR と米ドルステーブルコイン USDR に影響を与えるセキュリティ脆弱性を特定したことを示し、現在その脆弱性を積極的に制御し、影響を軽減している。ユーザーとユーザー資金の安全を守ることが最優先事項であり、関連問題を確認次第、詳細と今後の対策をできるだけ早く発表する予定である。以前の報道によれば、StablR のステーブルコインは攻撃を受けてペッグが外れ、攻撃者は約 280 万ドルの利益を得た。

GoPlusの分析によると、ステーブルコインプロトコルStablRは、イーサリアム上のマルチシグ契約のセキュリティ設定の問題（マルチシグの閾値が1）および保有者の秘密鍵が盗まれたことにより、StablR $EURR、$USDRステーブルコインが20%脱ペッグし、攻撃者は約280万ドルの利益を得た。

機関デジタル資産取引会社 Wintermute が発表した最新の市場情報レポートによると、世界の金融市場は大規模なマクロ経済の再評価を経験しており、市場のストーリーは利下げのタイミングから潜在的な利上げの準備へと移行しています。この構造的な変化は、予想を上回る経済データと再燃したインフレ圧力によって引き起こされ、デジタル資産に大きな抵抗をもたらしています。レポートは、ビットコインが一時的に83,000ドルを突破した後、大幅に反落し、1週間で顕著な上昇幅を吐き出し、主流の代替トークンが二桁のパーセンテージの下落を示したと指摘しています。世界の資産運用者はマクロの制約の下でリスクを積極的に減少させており、デジタル資産の拡張の脆弱性が浮き彫りになっています。オンチェーン取引指標は、以前の価格上昇が実際の現物市場の需要や有機的な個人投資家の蓄積によってではなく、主に永続的な先物市場のショートスクイーズから来ていることを示しています。ビットコインのデリバティブの未決済契約総量は1ヶ月で100億ドル急増し580億ドルに達しましたが、基礎となる現物取引量は同時に2年ぶりの低水準に落ち込みました。ビットコインが80,000ドルを突破した際、大量のショートポジションが強制的に決済され、一時的な買い狂乱を引き起こしましたが、持続的な構造的底を築くことはできませんでした。現在の市場の逆転の主な要因は、世界のCPIデータが予想を超え続けており、広範な利上げへの懸念を再燃させていることです。同時に、次期連邦準備制度理事会議長の指名に関する継続的な不確実性も市場に政策の予測不可能性を注入しています。現物ETFが最近6.23億ドルの純流入を記録し、取引プラットフォームのビットコイン準備が7年ぶりの低水準に減少しているなど、長期的なポジティブなシグナルが存在するにもかかわらず、Wintermuteは、これらの長期的なトレンドが最近の構造的リスクを緩和するには不十分であると強調しています。国際的な資産運用者が資本を短期の国債ツールにシフトさせる中、デジタルプラットフォームは勢いを維持するのが難しくなっています。トークン化市場の最近の見通しは、実際の現物買い手が戻ってきて弱い流動性のギャップを安定させるかどうかに依存しています。

VerusはXプラットフォームで、Verus-Ethereumクロスチェーンブリッジが攻撃を受けたことを確認しました。Ethereumチェーン上の契約にあるETH、USDC、tBTCが盗まれ、現在他のブリッジ資産には影響が出ていません。Verusネットワークは現在停止しており、大多数のブロック生成ノードは攻撃の影響を受けて自発的にオフラインになっています。開発チームは事件の影響範囲、攻撃経路、今後の処理方法を全力で調査しており、さらなる情報が確認され次第、進捗を発表します。Verusは、関連する法執行機関と協力して法的責任を追及する意向を示していますが、攻撃者が全額返還する場合、プロジェクト側は脆弱性報奨金を提供し、さらなる責任追及は行わないとしています。また、Verusは、公開チャンネル、プライベートメッセージ、または他のチャネルで自称Verusチームまたはコミュニティメンバーであり、「賠償」や「補償プラン」を提供する人物はすべて詐欺師であると警告しています。公式は、賠償プロジェクトが存在すると主張する人や補償を提供する人とやり取りしないように強調し、関連アカウントをDiscordまたはXプラットフォームに通報するように求めています。以前、VerusのEthereumクロスチェーンブリッジが攻撃を受け、約1158万ドルの損失がありました。