脆弱性修正

The Blockの報道によると、Sui財団は最近のメインネットの3回の中断に関する事故分析報告を発表し、先週の木曜日と金曜日に発生した3回のネットワーク中断をv1.72バージョンのアップグレードによって導入された2つの独立した脆弱性に起因するとしています。最初の中断は約6時間半続き、2回目と3回目はそれぞれ金曜日の朝と午後に発生しました。最初の2回の中断は、v1.72によって導入された「アドレス残高」機能が取引手数料の支払い方法の欠陥を露呈したことに起因しています。資金不足で取引がキャンセルされた場合でも、ネットワークはこれらの資金を支出し続け、負の残高が発生し、検証ノードの照合プロセスが崩壊しました。財団は、木曜日に緊急で推送された一時的な修正案に既知の中断リスクが含まれていることを認め、チームは迅速にチェーン上のサービスを復旧させるためにそのリスクを受け入れました。その結果、金曜日の朝にネットワークが再度中断しました。3回目の中断は、別の未公開のランダム状態の脆弱性によって引き起こされ、検証ノードが修正パッチをインストールするために再起動した際に発生しました。Suiはユーザーの資金がリスクにさらされたことはないと述べ、2つの脆弱性を修正し、停滞したエポックを強制的に終了させるメカニズムを構築しました。財団はまた、彼らの生産システムにアクセスできるAIエージェントが診断プロセスを大幅に加速させたと述べています。

DeFi Unitedは火曜日にKelp DAOのrsETHクロスチェーンブリッジの脆弱性に対する技術修正計画を発表しました。以前、攻撃者はLayerZero駆動のUnichainからEthereumへのブリッジの脆弱性を利用し、偽のインバウンドデータパケットを通じて116,500枚のrsETHを解放しました。そのうち約107,000枚は現在、AaveとCompoundの7つの関連アドレスに担保として分布しています。DeFi Unitedは、rsETHの支援を回復するために十分なETHのコミットメントを得たと述べており、rsETHに段階的に変換し、ブリッジロック契約に注入します。LayerZero Labsは火曜日に修正作業を支援するために10,000枚以上のETHを投入することを約束しました。清算攻撃者のポジションに関して、連合はAaveとCompoundのガバナンス提案を通じて制御された清算を実行し、それぞれ約13,000枚と16,776枚のETHを回収する見込みです。修正期間中、複数のチェーン上のWETHとrsETHの準備金は凍結状態を維持します。DeFi Unitedは、ガバナンス承認の進捗、攻撃者の干渉の可能性、そして新しいセキュリティ対策が本番環境での検証を待っていることなど、実行リスクについても警告しています。

中国工業情報化部のネットワークセキュリティ脅威および脆弱性情報共有プラットフォーム（NVDB）が監視したところ、攻撃者がApple社の端末製品に対する脆弱性を利用した攻撃活動を行っており、情報の盗取やシステムの制御などの深刻な危害を引き起こす可能性があります。影響範囲には、iOS 13から17.2.1を実行しているiPhone、iPadなどのApple社の端末製品が含まれます。攻撃者は、SMS、メール、またはウェブページの毒入れなどの方法を通じて、ユーザーを誘導し、Safariブラウザを使用して悪意のあるコードを含むウェブページにアクセスさせ、端末デバイスに存在するセキュリティ脆弱性を総合的に利用して、被害を受けた端末製品にリモートコントロールのトロイの木馬を植え付け、ユーザーの敏感情報を盗み、最高権限を取得して制御します。Apple社の端末製品を使用しているユーザーには、リスクの調査を行い、できるだけ早くバージョンをアップグレードし、パッチをインストールするなどの方法で脆弱性を修正することをお勧めします（Apple社のセキュリティ更新のお知らせを参照してください）。システム更新通知やApple社が発表した最新のセキュリティ更新のお知らせに注意し、最新の安全バージョンに適時アップグレードし、使用の安全意識を強化し、不明なリンクをクリックしないようにし、ネットワーク攻撃のリスクを防ぎましょう。

GoPlus はセキュリティ警告を発表しました。Chrome ブラウザの脆弱性により、悪意のある拡張機能が Gemini パネルを通じて権限を昇格させることができます。すぐに Chrome ブラウザをバージョン 143.7499.192 以上にアップグレードしてください。この脆弱性により、悪意のある拡張機能が Chrome ブラウザ内の Gemini Live パネルを制御し、ユーザーの許可なしにカメラやマイクにアクセスしたり、スクリーンショットを取得したり、ローカルファイルにアクセスしたりすることができます。脆弱性番号は CVE-2026-0628 で、Google は 2026 年 1 月初旬に Windows/Mac バージョン 143.7499.192/.193 と Linux バージョン 143.7499.192 でこの脆弱性を修正しました。すぐに Chrome のバージョンを確認し、アップグレードしてください。

Flow 財団は脆弱性事件後の修正進捗を更新しました。Flow コア開発チームは、Cadence 修正作業中に EVM 機能を復元するためのソリューションを見つけました。EVM ネットワークは、24 時間以内に再稼働する予定です。現在、第二段階（Cadence）と第三段階（EVM）の並行修正が続いており、その後、第四段階でブリッジと取引所機能の復元に入ります。

Flow ブロックチェーンがセキュリティ脆弱性攻撃に遭い、約 390 万ドルの資産がネットワークから移転され、バリデーターは即座に調整を一時停止しました。Flow 財団は現在、バリデーター、コア開発者、およびエコシステムのパートナーと密接に協力し、ネットワークの復旧計画を策定しています。公式に確認されたところによれば、ユーザーの資金は安全で影響を受けておらず、技術的修正手順が検証中です。エコシステムの調整段階は 2-3 時間内に完了する見込みで、次のステータス更新は太平洋時間 12 月 29 日午後 6 時に発表される予定です。財団は、調整時間を延長するのはネットワークが安定して秩序ある形で復旧することを確保するためであると述べています。

ChainCatcher のメッセージによると、市場の情報では、Typus Finance が発表し、チームは前日に開示された脆弱性に対する内部コード修正を完了したとのことです。現在、独立したセキュリティ専門家の審査を待って再展開する予定です。Typus は、契約が一時停止している間、すべての永久契約ポジションは清算されないことを強調し、ユーザーの担保資産は安全であり、セキュリティチェックが完了した後に回収できるとしています。公式はまた、資金追跡作業がパートナーおよび法執行機関と調整中であり、資産回収計画は内部で策定中であると述べています。チームは、透明性を維持し、重要な進展があった際にはユーザーに迅速に通知することを再確認しました。

ChainCatcher のメッセージによると、Trust Wallet の中国語チャンネルが発表したところによれば、チームはコミュニティの最近の2018年初期ウォレットバージョンの脆弱性に関する議論について明確にしました。この脆弱性は当時業界で一般的に使用されていた第三者のオープンソースの乱数ライブラリに起因しており、2018年7月に修正され、Wallet Core ライブラリにオープンソースとして記録されています。公式によれば、約1万人の初期ユーザーが影響を受け、全員に通知され、資産の移行が完了しており、損失は発生していません。2018年7月以降、新しく作成されたウォレットは影響を受けていません。現在、Trust Wallet は監査済みの暗号ライブラリと高強度の乱数アルゴリズムを採用しており、独立したセキュリティ監査およびバグ報奨プログラムを通じてセキュリティを強化し続けています。チームはまた、「ウォレットセキュリティ認識シリーズ」を発表し、ニーモニックフレーズと乱数のセキュリティ原理についての啓蒙を行い、「透明性と安全性は核心的な約束である」と再確認します。

ChainCatcher のメッセージによると、匿名の情報筋2名が、Unity ゲームエンジンが静かに脆弱性修正プログラムをリリースしていると伝えています。この脆弱性は、第三者のコードが Android ベースのモバイルゲームで実行されることを可能にし、モバイル暗号ウォレットを標的にする可能性があります。情報筋によると、この脆弱性は2017年以降のプロジェクトに影響を与え、主に Android に影響を及ぼすが、Windows、macOS、Linux システムも異なる程度で影響を受けているとのことです。Unity は選ばれたパートナーに対して修正プログラムと独立したパッチツールを非公開で配布し始めましたが、公開ガイダンスは来週の月曜日または火曜日になる見込みです。

ChainCatcher のメッセージによると、TON コア開発チームはブロック生成が再開されたと発表し、迅速な修正パッチをリリースしました。少数のメインチェーン検証ノードを更新するだけでブロック生成が回復します。今回の問題は、メインチェーンのスケジューリングキュー処理におけるエラーに関連しています。TON コア開発チームは、後ほどこのイベントの技術報告書を発表する予定です。

ChainCatcher のメッセージ、TonBit チームは最近、TON 仮想マシンの中で2つの重要な脆弱性を発見し、修正を支援しました。そのうちの1つの脆弱性は、悪意のあるコントラクトによって利用され、仮想マシンの異常なクラッシュを引き起こし、ネットワークの安定性に影響を与える可能性があります。Ton の公式開発チームは、最新の Github Release で仮想マシンの内部処理方法を調整し、このような攻撃の発生を防ぎました。

ChainCatcher のメッセージ、Jupiter の公式がソーシャルメディアで発表したところによると、同プラットフォームで以前発生した価格表示の誤りが修正されたとのことです。以前の情報では、Jupiter の公式がソーシャルメディアで発表したところによると、Openbook crank の問題により、現在この dApp で表示されている価格が誤っているとのことです。Swap とその他の操作には影響がありません。プロジェクトチームは、Openbook crank がダウンしている際に引用をブロックすることでこの問題を解決しようとしており、修正プログラムはすぐに展開される予定です。

ChainCatcher のメッセージ、MetaMask チームは MetaMask モバイルアプリ v7.9.0 のバグを修正したと述べています。ユーザーがまだモバイルクライアントをアップグレードしていない場合は、すぐに最新バージョン 7.10.0 にアップグレードしてください。この脆弱性により、モバイルアプリ v7.9.0 の一部のユーザーの特定の取引が期待通りに実行されない可能性があり、異なるチェーンで発生する可能性があります。さらに、MetaMask は、ユーザーが MetaMask Mobile の取引ビューで古い取引が送信されたと表示されるか、もはや表示されない場合、または取引が Etherscan に一度も表示されない場合は、このバグの影響を受けている可能性があると述べています。

ChainCatcher のメッセージによると、Mixin Kernel はツイートで、2023 年 9 月 23 日の午前中に Mixin Network のクラウドサービスプロバイダーのデータベースがハッキングされ、メインネットの一部資産が失われたと報告しています。チームは Google と Slow Mist チームに連絡し、調査を支援してもらっています。初期の確認によると、関与した資金は約 2 億ドルです。Mixin Network の入金および出金サービスは一時停止されています。すべてのノードの議論を経て合意に達した結果、脆弱性が確認され修正され次第、これらのサービスは再開されます。この期間中、送金には影響がありません。Mixin チームは後に損失資産の処理に関する解決策を発表する予定で、Mixin の創設者である冯晓东は、北京時間 9 月 25 日 13:00 に公開ライブでこの事件について説明します。

ChainCatcher のメッセージ、マイクロソフトは発見された 38 件のセキュリティ脆弱性を修正するパッチをリリースしました。その中で、コード名 "CVE-2023-29336" の脆弱性は、攻撃者がシステム権限を取得することを可能にします；"CVE-2023-29325" はリモートコード実行の脆弱性で、攻撃者が特別に作成された電子メールを送信することで被害者のデバイスに侵入することを許可します。（出典リンク）