blocksec

BlockSecによるInverse Financeの攻撃疑惑に関する報告BlockSecは、Inverse Financeが約24万ドルの資金を失った疑いがあると監視しています。YAM FinanceはXプラットフォームでこの事件についての見解を発表し、今回の事件はInverseの契約の脆弱性によるものではなく、LlamaLendのメカニズムに関連していると述べました。彼らの説明によると、攻撃者はLlamaLend上でsDOLAに対して「寄付攻撃」を仕掛け、価格を約1.188 sDOLA = 1 DOLAから約1.358 sDOLA = 1 DOLAに引き上げ、その後sDOLAを担保にしてcrvUSDを借り入れたユーザーのポジションをほぼすべて清算しました。担保の価値が上昇したにもかかわらず清算が発生した理由はまだ完全には解明されておらず、通常であればユーザーを清算ラインから遠ざけるはずの状況です。注目すべきは、今回の価格異常の「二次効果」が依然として続いているため、LlamaLendでレバレッジ取引を行わず、sDOLAのみを保有しているユーザーの帳簿上の利益が約14%向上していることです。さらに、現在DOLAは二次市場での取引価格がペッグ値より約1%のディスカウントが存在しており、一部のコミュニティメンバーは借入ユーザーに対してディスカウント段階でDOLAの債務を返済することを検討するよう提案しています。

据 BlockSec 监测，Inverse Finance 疑似遭受攻击，损失约 24 万美元资金。该事件或涉及 DOLA 价格操纵，造成多名用户被清算。目前 BlockSec 已联系相关团队，但尚未收到回复。

ブロックチェーンセキュリティ機関 BlockSec の監視により、Base とイーサリアムネットワーク上の FOOMCASH コントラクトが模倣攻撃に遭遇したことが発見されました。この手法は以前の Veil Cash の脆弱性と同じで、攻撃者は検証キーの設定ミスを利用して zkSNARK 証明を偽造し、コントラクトの累積損失は約 226 万ドルに達しました。その中で、Base 上の単一の攻撃取引は約 42.7 万ドルの損失を引き起こし、イーサリアム上の約 183 万ドルに関連する取引はホワイトハット救助操作の疑いがあります。

据 BlockSec 监测，账户抽象钱包 Holdstation 遭黑客攻击，多链资产被盗 10 万美元，黑客已将被盗资金转至比特币网络。Holdstation チームはオンチェーンメッセージを発表し、攻撃者との交渉を試みています。

BlockSecは、クローズドソースの契約に関する重大な脆弱性分析を発表しました。彼らは、Ethereum、Arbitrum、Base、BSC上に展開されたSwapNetとAperture Financeの被害契約に対する一連の疑わしい取引を検出し、総損失は1700万ドルを超えています。根本的に言えば、これら二つの事件の根源は非常にシンプルです。被害契約は入力検証が不十分であり、任意の呼び出しの脆弱性が存在します。攻撃者はこの脆弱性を利用して、既存のトークンの承認を悪用し、transferFromを通じて資産を盗むことができます。SwapNetとAperture Financeの事件は異なるプロトコルとブロックチェーンに影響を与えましたが、両者の根本的な問題は複雑ではありません：ユーザーが制御する基盤の呼び出しと、トークン承認を持つ契約における入力検証の不十分さです。

BlockSec は Bitget と共同で研究報告「AI × Trading × Security：スマートトレーディング時代のリスク進化 3.0」を発表しました。報告は、AI の能力の進化と Web3 との融合の道筋を中心に、AI がどのように Web3 の取引効率と意思決定ロジックを再構築するかを体系的に分析し、さらに AI 時代の Web3 の攻防形態の進化トレンドと新たな安全パラダイムについて探求しています。同時に、報告はリスク管理、マネーロンダリング対策、リスク識別などの観点から、AI が Web3 セキュリティシステムにおける応用方向と現実の課題を整理しています。具体的なケース分析では、報告は Bitget が提供する GetAgent を例に挙げ、一般的な取引情報と投資アドバイザー補助ツールに偏っていることを指摘しています。GetAgent は従来の意味での対話型ロボットではなく、トレーダーが複雑な流動性環境の中で使用する「第二の脳」です。その核心ロジックは、AI アルゴリズムとリアルタイムの多次元データの深い融合を通じて、データ、戦略、取引実行を結びつける完全なクローズドループを構築し、高頻度かつ多変数の市場環境でより効果的な意思決定を支援することにあります。報告の最後では、Web3 と AI の深い融合が業界の発展における重要なトレンドとなっており、安全性、リスク管理、コンプライアンス能力がこのトレンドを持続的に推進するための鍵となる基盤であると指摘しています。報告は、業界内の異なる機関が技術、ガバナンス、安全基準の構築を協力して推進し、スマートトレーディング時代の健全で持続可能な発展を共に促進する必要があると強調しています。

市場の情報によると、数時間前にイーサリアム、Arbitrum、Base、BSCに展開された被害契約に対する一連の疑わしい取引が発見されました。これらの取引は、2名の作成者が展開した契約が攻撃を受け、総損失は1700万ドルを超えています。被害契約はオープンソースではなく、任意呼び出し機能の脆弱性が存在するようです。攻撃者は既存のトークンの承認を悪用し、transferFrom操作を実行して資産を盗みました。影響を受けた展開者：0xbeef63AE5a2102506e8a352a5bB32aA8B30B3112------損失約367万ドル；0x9cb8d9BaE84830b7F5F11ee5048c04a80b8514BA------損失約1,341万ドル。

区块链セキュリティ機関 BlockSec は、Arbitrum 上に展開された FutureSwap プロトコルが4日前に初めて攻撃を受けた後、再びハッカーによって再入攻撃の脆弱性を利用され、約 7.4 万ドルの損失を被ったと発表しました。攻撃者は3日前に再入関数 0x5308fcb1 を通じて LP トークンを過剰に発行し、クールダウン期間が終了した後に過剰担保資産を償還して利益を得ました。

安全機関 BlockSec 旗下のチェーン上追跡プラットフォーム BlockSec Phalcon は X プラットフォームで、「Balancer およびその複数のフォークプロジェクトが数時間前に攻撃を受け、複数のチェーンで 1.2 億ドル以上の損失が発生しました。これは非常に複雑な攻撃です。初期分析によると、根本的な原因は攻撃者が BPT の価格計算に対して不変量操作を行い、BPT の価格計算を歪めたことにより、攻撃者が特定のステーブルコインプールから単一のバッチ取引で利益を得ることができたことです。Arbitrum に対する攻撃取引の例を挙げると、バッチ交換操作は三つの段階に分解できます：1. 攻撃者は BPT を基礎資産に交換し、あるトークン (cbETH) の残高を正確に調整して、丸めの境界に近づけます (金額 = 9)。これにより、次のステップでの精度損失の条件が整います；2. 攻撃者はその後、事前に構築された数量 (= 8) を使用して、別の基礎トークン (wstETH) と cbETH の間で交換を行います。トークン数量のスケーリング時に切り捨てが行われるため、計算された Δx がわずかに減少し (8 0.918 から 8)、Δy が過小評価され、Curve の StableSwap モデル内の不変量 (D も小さくなります。BPT の価格 = D / 総供給量であるため、BPT の価格が人為的に押し下げられます；3. 攻撃者は基礎資産を逆に BPT に交換し、バランスを回復しつつ、BPT の価格下落から利益を得ます。

区块链セキュリティ会社 BlockSec は、ソーシャルメディアで Balancer と複数のフォークプロトコルが攻撃を受けたと発表しました。損失状況は以下の通りです：イーサリアムチェーン上の Balancer 損失 7000 万ドル；Base チェーン上の Balancer 損失 390 万ドル；Polygon チェーン上の Balancer 損失 11.7 万ドル；Sonic チェーン上の Beets 損失 340 万ドル；Arbitrum チェーン上の Balancer 損失 590 万ドル；Optimism チェーン上の Beethoven 損失 28.3 万ドル。

ChainCatcher のメッセージによると、BlockSec の監視により、Base チェーン上の未知のコントラクトが攻撃を受け、約 21.9 万ドル（55 WETH）の損失が発生しました。攻撃の原因は、アクセス制御の不備により、任意の transferFrom 関数が呼び出され、被害者が承認した資産が盗まれたと疑われています。

ChainCatcher のメッセージによると、市場の情報では、Sharwa.Finance が攻撃を受けたことを公表し、その後運営を一時停止しました。しかし、数時間後に再び複数の疑わしい取引が発生し、攻撃者はわずかに異なる攻撃経路を通じて、同じ基盤の脆弱性を利用した可能性があります。全体的に見て、攻撃者はまずマージンアカウントを作成し、提供された担保を利用してレバレッジ取引でより多くの資産を借り入れ、最後に借りた資産に関わる交換操作に対して「サンドイッチ攻撃」を仕掛けました。根本的な原因は、MarginTrading コントラクトの swap() 関数に破産チェックが欠如していることのようです。この関数は、借りた資産をあるトークン（例えば WBTC）から別のトークン（例えば USDC）に交換するために使用されます。この関数は、資産の交換が実行される前に、交換開始時のアカウントの状態に基づいて返済能力を検証するため、操作プロセスに操作される余地を残しています。攻撃者 1（0xd356 で始まる）は複数回の攻撃を実施し、約 6.1 万ドルの利益を得ました。攻撃者 2（0xaa24 で始まる）は 1 回の攻撃を実施し、約 8.5 万ドルの利益を得ました。

ChainCatcher のメッセージによると、BlockSec Phalcon が明らかにしたところ、同システムはイーサリアム上で2つの未知のコントラクトに対する複数の疑わしい取引を検出し、約12万ドルの損失を引き起こしました。攻撃者は、被害を受けたコントラクト内の approveERC20 と withdrawAll の重要な関数にアクセス制御の欠陥を利用し、コントラクト内のトークンを成功裏に引き出しました。これらの被害を受けたコントラクトはオープンソースではなく、すべて同一のアドレスによって展開されています。

ChainCatcher のメッセージによると、市場の情報では、BlockSec Phalcon のアラートがあり、そのシステムが「transferFrom」の問題を検出し、Base チェーン上で約 9 万ドルの損失が発生したとのことです。この問題は、アクセス制御の不足によりコールバック関数内に任意の低レベル呼び出しが存在することが原因です。未知のコントラクト 0xD9f4a3238154ff6439e37F98c9B11489353715Bb に対するすべての承認を直ちに取り消すことをお勧めします。

ChainCatcher のメッセージによると、BlockSec Phalcon（@Phalcon_xyz）が監視したところ、イーサリアムネットワーク上で Bunni プロトコル（@bunni_xyz）契約に対する疑わしい取引が発見され、約 230 万ドルの損失を引き起こしました。

ChainCatcher のメッセージによると、Web3 セキュリティ会社 BlockSec のシステム監視により、BSC エコシステム上の D3XAT という契約が攻撃を受けた疑いがあり、現在の推定損失は 16 万ドルに達しています。この契約はオープンソースではありませんが、初期分析によれば、現物価格の依存性により、価格操作の可能性があるとされています。

ChainCatcher のメッセージによると、暗号セキュリティ研究機関 BlockSec Phalcon が明らかにしたところによれば、Resupply プロトコルが攻撃を受け、約 950 万ドルの損失が発生しました。

ChainCatcher のメッセージ、ブロックチェーンセキュリティ会社 BlockSec がソーシャルメディアで発表したところによると、同社のシステムが分散型ステーブルコインプロトコル Usual（USUAL）に対するハッキング攻撃を監視しており、現在そのプロトコルは一時停止しています。

ChainCatcher のメッセージによると、BlockSec Phalcon の監視により、Web3 スターター プラットフォーム WebKeyDao がハッキングされ、約 7.3 万ドルの損失が発生しました。攻撃者は、保護されていない関数を利用して wkeyDao トークンを低価格で購入し、分散型取引所でこれらのトークンを販売して利益を得ました。具体的には、攻撃者は脆弱なコントラクトの購入機能を利用し、1,159 BUSD を使用して 230 個の wkeyDao トークンを購入しました。その後、分散型取引所で 13,167 BUSD の価格でこれらのトークンを販売し、約 10 倍の利益を得ました。