plu

最近発生した「ListaDAOLiquidStakingVault」契約の攻撃事件に関して、ListaDAO公式は声明を発表し、攻撃を受けた契約は公式に展開されたものではなく、未検証の第三者によって類似の名前で作成された偽契約であることを明らかにしました。ListaDAOの公式契約はこの事件の影響を受けていません。GoPlusセキュリティチームの詳細な分析によると、今回の攻撃は2026年4月16日に発生し、その根本的な原因は第三者契約にビジネスロジックの欠陥が存在することです。トークンの転送が行われると、Dividend.setShares()関数がトリガーされ、契約内のシェアの記録が変更され、それがclaimReward()関数内の報酬計算に影響を与えました。攻撃者はこの脆弱性を利用して契約内の資産を枯渇させました。GoPlusは、上記の2つの契約コードに同じロジックの脆弱性が存在するため、これらのコードをフォークまたは再利用する開発プロジェクトは高い利用リスクにさらされていることを警告しています。関連する開発者には、コードの点検と修正を迅速に行い、スマート契約の安全性を確保するために継続的な監査メカニズムを導入することをお勧めします。

Web3 ウォレットインフラ Claw Wallet は GoPlus と戦略的提携を結んだことを発表しました。Claw Wallet は GoPlus の SafuSkill Launchpad を統合し、AI スキル（Skill）の資産化とトークン化をサポートし、開発者が GitHub 認証を通じて継続的なオンチェーン収益を得られるようにします。同時に、Claw Wallet は GoPlus AgentGuard セキュリティスキャン技術を導入し、多次元スコアリングシステムを通じて AI エージェントのコード、センシティブデータ、実行環境をリアルタイムで監視し、リスクの可視化を行います。この提携は AI エージェントウォレットのセキュリティを向上させ、そのエコシステムのインセンティブメカニズムを強化することを目的としています。

GoPlusの中国語コミュニティによると、あるユーザーが悪意のあるPermit2取引に署名したため、彼のウォレットにある約316,000ドルのUSDCがフィッシャーに転送されました。GoPlusはユーザーに対してフィッシング防止の「四つの不」の原則を守るよう提案しています：知らないリンクをクリックしない、出所不明のソフトウェアをインストールしない、不明な内容の取引に署名しない、未確認のアドレスに送金しない。また、フィッシングリスクをリアルタイムで遮断するためにGoPlusのセキュリティプラグインのインストールを推奨しています。

GoPlus Security の報告によると、Infiniti Stealer という名前の情報窃取マルウェアが "ClickFix" ソーシャルエンジニアリング攻撃手法を通じて、Mac ユーザーの暗号ウォレットや敏感な資格情報を狙っている。攻撃者は高度に模倣された Cloudflare の CAPTCHA ページを偽造し、ユーザーを誘導してターミナルを開かせ、手動で悪意のあるコマンドを貼り付けて実行させる。コマンドが実行されると、スクリプトは macOS の隔離属性を削除し、その後のペイロードを /tmp ディレクトリに静かに書き込んで実行する。最終的なペイロードは Nuitka でコンパイルされたネイティブ macOS バイナリファイルであり、セキュリティツールによる検出の難易度を大幅に引き上げる。Infiniti Stealer が展開されると、Chromium / Firefox ブラウザの資格情報、macOS キーチェーン、暗号ウォレット、開発者キー ファイル（.env ファイルなど）を盗むことができ、サンドボックス検出や遅延実行機能を備えて追跡を回避する。

フォーブスの報道によると、Plumeの法律顧問B. Salman Banaeiは国会で証言し、アメリカ証券取引委員会（SEC）に対してトークン化（tokenization）ルールの策定を加速し、DeFiプロトコルの完全なATS（代替取引システム）登録を進めるよう強く促しました。単に「イノベーション免除」に依存するのではなく。BanaeiはSECが「すべての卵をイノベーション免除という一つのバスケットに入れている」と批判し、このやり方を「愚かだ」と述べ、取引量や製品の制限を設けることは大規模な機関を引き付けることができないと警告しました。「なぜなら、彼らは2、3年後には存在しないかもしれないインフラにリソースを投入することはないからです。」彼はまた、SECに対して現在のルールの不整合について意見を求め、恒久的な解決策を策定するよう提案しました。Plumeは2025年10月にSECから登録転送代理人として承認され、オンチェーンのトークン化証券の株主記録、移転、配当を処理することができるようになり、現在はFINRAのブローカーライセンスを待っています。Banaeiは、現在のSECのリーダーシップのウィンドウが残り10ヶ月しかないため、真の世界資産（RWA）のトークン化の発展を促進するために迅速に行動する必要があると指摘しました。

GoPlus Security が発表したセキュリティ警告によると、Silverfort のセキュリティ研究者は OpenClaw のスキルリポジトリ ClawHub に深刻な脆弱性を発見しました。攻撃者は内部関数 downloads:increment を呼び出すことで、すべての防御機構を回避し、単一の curl リクエストで数分以内にダウンロード数を 2 万回以上に増やすことができ、悪意のあるコードを含むスキルを検索ランキングの第一位に押し上げ、ユーザーや AI エージェントに自動的にインストールさせることができます。悪意のあるスキルが実行されると、暗号財布や API キーなどの敏感なデータを盗むことができます。現在、この脆弱性は 24 時間以内に修正されました。GoPlus はユーザーに対し、高いダウンロード数が安全を意味するわけではないと警告し、AgentGuard を使用して安全スキャンと防御を行うことを推奨しています。

公式ブログによると、Plume Networkの最高法務顧問であるSalman Banaeiは、アメリカ合衆国下院金融サービス委員会での公聴会で、トークン化された証券は新しい資産クラスと見なされるべきではなく、そのために新しいルールや免除を作成する必要もないと述べました。彼は、規制は金融商品の経済的本質とリスクによって推進されるべきであり、その使用技術によってではないと主張しました。したがって、新しい技術の現実を成熟した規制フレームワークに組み込むために、既存の規制のターゲットを絞った修正を行うべきです。Salmanは、公共ブロックチェーンとオンチェーンコンプライアンスツール（Plumeに内蔵されたプロトコルレベルのマネーロンダリング防止フィルターなど）を利用することで、既存の規制基準を維持または超えると同時に、市場の透明性を大幅に向上させ、コストを削減し、仲介機関への依存を減らすことができると指摘しました。最後に、Salmanは警告を発しました：世界のトークン化インフラの競争が加速しており、香港、シンガポール、アラブ首長国連邦などの地域が積極的に布陣を整えています。もしアメリカが政策の不確実性により規制が遅れると、世界の資本市場におけるデジタルトランスフォーメーションのリーダーシップを失い、この戦略的機会が地政学的目標の異なる外国の競争相手に流れる恐れがあります。

オーストラリア最大の年金基金の一つである Hostplus は、暗号通貨を投資オプションに組み込むことを検討しています。Hostplus は、資産規模が1,500億オーストラリアドル（約1,050億米ドル）を超え、最高投資責任者のサム・シチリアは、この基金が Choiceplus 投資オプションを通じて会員にビットコインやその他のデジタル資産への配分チャネルを提供することを検討していると述べています。Choiceplus は、会員が自主管理する退職貯蓄ポートフォリオを可能にし、現在このオプション下の資産は基金全体の約1%を占めています。

Arkhamのデータによると、15:54に16億枚のGPS（約1231万ドル相当）がGoPlusからある契約アドレス（0x7448...で始まる）に転送されました。

GoPlusの安全監視によると、ある0x9709で始まるアドレスが悪意のあるPermitおよびApprove取引に署名し、約20万ドルのUSDCとwmtUSDTがフィッシング攻撃者に盗まれました。GoPlusは、ユーザーがチェーン上の承認（Approve）やオフライン署名（Permit）リクエストに署名する際には、取引の詳細と契約アドレスを慎重に確認し、不明な出所の悪意のあるリクエストに署名しないようにし、資産の盗難を防ぐことを強く推奨しています。

Cointelegraph の報道によると、イーサリアム流動性再ステーキングプラットフォーム EtherFi は、Plume の現実世界資産プロトコル Nest に 2500 万ドルを配分し、トークン化された RWA の収益を直接プラットフォームに統合します。初期段階では、Plume の nBASIS 金庫に配置され、この金庫は Superstate の USCC 暗号アービトラージファンドに連動しています。将来的には、EtherFi インターフェースに専用の RWA 金庫を直接追加する計画です。この統合により、EtherFi の 60 億ドルを超えるユーザー預金が RWA エクスポージャーを得ることになります。従来の DeFi 収益とは異なり、RWA 戦略のリターンは政府証券の利息や貸出活動などのキャッシュフローに由来します。

GoPlusの監視によると、約8時間前、あるユーザーが悪意のあるPermit取引に署名した後、フィッシャーによって176万ドル相当のUSDCを盗まれました。

GoPlus はソーシャルメディアで報告を発表し、ClawHub エコシステムの最も重要な 100 の高頻度ダウンロードスキルに対して全量安全スキャンを実施した結果、ブロックされたスキル数は 21 個 (割合 21%)、警告されたスキル数は 17 個 (割合 17%) であると述べています。GoPlus は、Top 100 Skills の中で 21% が明確な高リスク操作（例えば、直接のネットワーク侵入、敏感な API 呼び出し、自動送信など）を持っているとし、このようなスキルを実行する際には「Human-in-the-Loop (HITL) 人工確認」メカニズムを強制的に追加し、高リスク行動を人工的にレビューすることを推奨しています。また、17% のスキルには一定のリスクがあり、慎重に実行することを推奨しており、安全性に高い要求を持つユーザーには人工確認を追加することを勧めています。この背景の中で、GoPlus Security は SafuSkill を発表しました。これは安全を優先したスキル市場であり、SafuSkill は BNB Chain 上に構築され、スキル市場、オートスキル安全スキャンエンジン、開発者管理ツールを統合した AI エージェントスキルプラットフォームであり、ユーザーがより安全な AI エージェントスキルを選別し発見するのを助けることを目的としています。AI エージェントスキルに安全スキャンと実行時保護機能を提供し、AI エージェントエコシステムをより透明で安全なインフラ層へと発展させることを推進しています。

据 GoPlus 発表のセキュリティ警告によると、攻撃者は Google 検索広告を通じて、ピクセル単位で完璧にクローンされた #Claude Code の公式インストールページのマルウェアを配布しており、このマルウェアはユーザーのパスワード、クッキー、セッショントークン、暗号財布、資格情報、システム情報を盗むことができます。GoPlus は、検索結果の広告識別を確認し、公式ウェブサイトとの微妙な違いを注意深く確認することを推奨しています。また、公式文書、ソーシャルメディア、GitHub リポジトリなどの複数のチャネルを通じてインストール方法を検証し、知らないコマンドを直接実行せず、実行前にコマンドの動作を分析することを勧めています。フィッシングリンク、リスクのある署名、認証、取引をリアルタイムでブロックするために、安全なプラグインをインストールすることも重要です。

GoPlusはCustosとの長期的な戦略的パートナーシップを発表しました。双方のチームはトークンロックビジネスを中心に深い協力を展開し、オンチェーン資産管理の新しい可能性を探求し、トークンロックを基本的なツールからプロトコルレベルの資本戦略インフラに引き上げます。双方は明確な境界と異なる役割を維持し、独立して発展しながら戦略的な協調を実現します。Custosは資産管理プロトコル層の革新に注力し、トークンロックビジネスをより高いレベルに発展させます。GoPlusは安全なインフラを構築し続け、Custosの発展に戦略的なサポートを提供します。

GoPlus は安全警告を発表し、Gork 4.2 をテーマにした 4AGENT トークン（契約の先頭は 0x15ea）を貔貅トークンとして、KOL と賢いお金が被害に遭い、総損失は 170 #BNB（約 10 万ドル）であるとしています。攻撃の利益の中で 123.7 BNB が 0xFcc7 で始まるアドレスに転送されました；さらに 46 BNB が orbiter を使って ETH に換えられ、0x96f4 で始まるアドレスに移動しました。Dev の資金源は Bitget であり、クロスチェーンアドレスを辿ると、以前に同様の未公開の悪意のあるトークン：DEBOT と U Lottery が発行されていたことがわかります。

GoPlus 日本語コミュニティは X プラットフォームで警告を発表し、北朝鮮のハッカーが npm レジストリに 26 の悪意のあるパッケージを公開したと伝えています。これらの悪意のあるパッケージには、インストール中に自動的に実行されるインストールスクリプト ("install.js") が添付されており、"vendor/scrypt-js/version.js" にある悪意のあるコードを実行します。悪意のあるコードは、同じ悪意のある URL を通じてリモートアクセス型トロイの木馬（RAT）をダウンロードして実行し、キーボードの入力を記録したり、クリップボードを盗んだり、ブラウザの認証情報を収集したり、TruffleHog を使用して Git リポジトリの秘密をスキャンしたり、SSH キーを盗んだりするなどの悪意のある行為を実施します。この事件は、「Famous Chollima」と呼ばれる北朝鮮のハッカー活動に関連しています。

GoPlus 日本語コミュニティが警告を発表しました。OpenClaw Gateway に高危険な脆弱性が存在しますので、2026.2.25 以上のバージョンに直ちにアップグレードし、Agent インスタンスに付与された不必要な証明書、API キー、およびノード権限を監査し、取り消してください。その分析によれば、OpenClaw はローカルホストにバインドされた WebSocket Gateway を介して動作し、この Gateway は Agent のコア調整層として、OpenClaw の重要な構成要素です。今回の攻撃は Gateway 層の脆弱性を狙ったもので、満たすべき条件は一つだけです：ユーザーがブラウザでハッカーが制御する悪意のあるウェブサイトにアクセスすることです。完全な攻撃チェーンは以下の通りです：1. 被害者がブラウザで攻撃者が制御する悪意のあるウェブサイトにアクセスする；2. ページ内の JavaScript がローカルホスト上の OpenClaw Gateway に対して WebSocket 接続を開始する；3. その後、攻撃スクリプトが毎秒数百回の試行で Gateway パスワードをブルートフォース攻撃する；4. クラックに成功した後、攻撃スクリプトが静かに信頼されたデバイスとして登録される；5. 攻撃者が Agent の管理者権限を取得する。

GoPlus Security は、PromptSpy という新しい Android マルウェアに注意するようユーザーに警告しています。このマルウェアは、フィッシングサイト（銀行のウェブサイトを装ったものなど）を通じてユーザーに APK ファイルをダウンロードさせ、アクセシビリティ権限を取得した後にデバイスをリモートで制御します。PromptSpy の特異性は、Google Gemini API を利用してデバイスのインターフェースを分析し、攻撃戦略を策定することで、異なるスマートフォンブランドやシステムバージョンにより適応し、攻撃の隠密性と成功率を高める点にあります。