ChainCatcher のメッセージ、SlowMist テクノロジーの最高情報セキュリティ責任者 23pds が警告を発表しました。Phantom ウォレットの最新バージョンにはセキュリティの脆弱性が存在する可能性があり、被害者は Phantom Profile のリスクを説明しました：ユーザーが未知のソースからのリカバリーフレーズをインポートすると、そのリカバリーフレーズが Phantom Profile に関連付けられている場合、ウォレットは自動的にそのアカウントシステムにログインし、ユーザーの資産が盗まれるリスクにさらされます。被害者の説明によると、Phantom Profile を有効にしていないユーザーがこのようなリカバリーフレーズをインポートすると、ウォレットは単一のウォレットアドレスをインポートするのではなく、事前に設定された攻撃者のアカウントシステムに自動的にログインします。Phantom の最新バージョンは統一アカウントシステム（Unified Profile System）を採用しているため、この操作により攻撃者はユーザーのデバイスに関連する権限を取得し、ユーザーのその後の入金行動を監視し、コインを盗むことが可能になります。

ChainCatcher のメッセージによると、The Block の報道で、イーサリアムプロトコルの公式 Go 実装クライアント Geth がコードネーム「Schwarzschild」の 1.14.13 バージョンアップデートをリリースしました。今回のアップデートでは、ピアツーピア（p2p）層に影響を与える脆弱性（CVE-2025-24883）が修正されました。この脆弱性は、ノードがサービス拒否攻撃を受ける可能性があり、Layer 2 クライアントにも影響を与える可能性があります。Geth チームは、1.14.0 以上のバージョン（1.14.13 バージョン未満）を実行しているユーザーに対してアップデートを推奨しており、v1.13.x バージョンを実行しているノードはこの脆弱性の影響を受けません。

ChainCatcher のメッセージによると、Protos の報告で、暗号ポッドキャスト UpOnly の X アカウントが 12 月 10 日にハッキングされ、ハッカーは偽のトークンを宣伝しようとしました。UpOnly のホストである Brian Krogsgard（Ledger）は、ハッカーがアカウントを乗っ取ったとき、彼はその管理下になかったこと、そして今回のセキュリティの脆弱性は SIM カードの交換事件ではないと述べています。ハッカーは偽のトークンに関する投稿を削除し、ホストの Cobie のイメージを通じて六桁の収入を得たことを自慢する内容だけを残しました。

ChainCatcher のメッセージ、Spectral の公式が X プラットフォームで発表したところによると、リリースされた Syntax プラットフォームの一部トークンに取引中のセキュリティ脆弱性が存在し、この脆弱性により約 20 万ドルの流動性が削除される可能性があります。この問題に対処するために、Spectral チームはプラットフォームとユーザーの安全を確保するために迅速に措置を講じました。具体的には：Syntax アプリのアクセス権を一時的に無効化；さらなるプログラムの相互作用を防ぐために、すべてのスマートコントラクトを一時停止。現在、Spectral チームは業界のトップセキュリティ専門家と協力して問題の根本原因を特定し、修正計画を策定して、プラットフォームの正常な運営をできるだけ早く回復させるために取り組んでいます。Syntax チームは、これらの措置がコミュニティの利益を守る最も効果的な方法であると述べており、詳細なフォローアップの更新を迅速に提供することを約束しています。

ChainCatcher のメッセージ、Aptos エコシステムの DeFi プロジェクト Thala は最新の公告を発表しました：最新の V1 流動性プール契約がセキュリティ脆弱性の攻撃を受け、2500 万ドルの資産が盗まれました。現在、Thala はすべての関連契約を一時停止し、Thala トークン資産（900 万ドルの MOD と 250 万ドルの THL）を凍結しています。他の機関の協力を得て、攻撃者と 30 万ドルの報奨金を通じてすべてのユーザー資産を回復する合意に達しました。影響を受けたユーザーは追加の行動を取る必要はなく、ポジションは 100% 完全に回復されます。ただし、すべての関連契約と Thala フロントエンドは完全に安全と見なされるまで一時停止の状態を維持します。

ChainCatcher のメッセージによると、Radiant Capital は X で、今週成功裏にイーサリアムメインネットの貸出市場を復旧させた後、Base ネットワークの貸出市場も復旧し、全面的に稼働していると発表しました。今回の遅延は、タイムロックを有効にした後に追加の取引が必要で、新しいマルチシグネチャに緊急管理者の役割を移行することに関係しています。このマルチシグは現在稼働中で、緊急時のみに使用され、その権限は必要に応じて市場を一時停止および復旧することに限定されています。以前の報道によると、Radiant Capital の公式はソーシャルメディアで振り返りを発表し、同プロトコルは 16 日に高度に複雑なセキュリティ脆弱性に直面し、5000 万ドルの損失を被ったと述べています。攻撃者は高度に進化したマルウェアを注入し、複数の開発者のハードウェアウォレットを利用しました。

ChainCatcher のメッセージ、アイデンティティおよびアクセス管理ソフトウェアプロバイダーの Okta が公式に発表したところによると、2024 年 10 月 30 日に内部で AD/LDAP DelAuth のキャッシュキー生成時に存在する脆弱性が発見されました。Bcrypt アルゴリズムがキャッシュキーの生成に使用されており、ここで userId + ユーザー名 + パスワードの組み合わせ文字列をハッシュ処理しています。特定の条件下では、ユーザーは以前に成功した認証の保存されたキャッシュキーをユーザー名に提供することで認証を行うことが可能です。この脆弱性の前提は、ユーザーのキャッシュキーを生成するたびに、ユーザー名が 52 文字以上でなければならないことです。影響を受ける製品とバージョンは、2024 年 7 月 23 日までの Okta AD/LDAP DelAuth であり、この脆弱性は 2024 年 10 月 30 日に Okta の本番環境で修正されました。

ChainCatcher のメッセージによると、Bedrock の公式情報が発表され、uniBTC のセキュリティ脆弱性に関する分析レポートが公開されました。主な内容は以下の通りです：コントラクトの脆弱性が確認され、解決されました；すべての資産は安全です；エアドロップ計画：すべての uniBTC 保有者は 100 ダイヤモンドのエアドロップを申請できます。今後の TGE コミュニティエアドロップは 0.5% 増加します；コントラクトの開始時間は公式の通知を待つ必要があります。

ChainCatcher のメッセージによると、Arbitrum 開発者は Arbitrum One、Nova、Sepolia の ArbOS 32 アップグレードが完了したと述べています。ノードオペレーターはノードを少なくとも Arbitrum Nitro v3.2.0 バージョンにアップグレードする必要があり、バリデータノードは v3.2.1 バージョンにアップグレードする必要があります。今回のアップグレードはその安全理事会と調整して行われ、以下の問題を解決するための緊急措置が承認されました：Arbitrum Stylus における誤った価格設定の問題、これによりサービス拒否攻撃が発生する可能性がある；悪意のあるコントラクトがノードのクラッシュを引き起こす問題；Stylus コントラクトが SLOAD 操作により過剰請求される誤った価格設定の問題。資金は一切リスクにさらされていません。さらに、チームは近日中に完全な分析報告書を発表する予定です。

ChainCatcher メッセージPendle 公式が X プラットフォームで Penpie 攻撃事件の事後分析を発表しました。今日の早い時間に、Penpie に対するセキュリティ脆弱性が原因で一部の資金が損失しました。これに対処するため、Pendle は迅速に契約を一時停止し、約 1.05 億ドルを効果的に保護しました。多くの努力の結果、Pendle の契約は現在復旧しました。正常に運営されています。Pendle 上の資金は依然として安全です。Pendle チームは、Pendle 上の資金が引き続き安全で影響を受けていないことを保証し、プラットフォームの安全な運営を引き続き最優先に考えます。

ChainCatcher のメッセージ、Pendle に基づいて構築された生息資産収益アグリゲーター Penpie は、セキュリティの脆弱性によりすべての入金および出金操作を一時停止したことを発表しました。Penpie チームはこの問題の解決に全力を尽くしています。

ChainCatcher のメッセージによると、Optimism のガバナンス情報に基づき、OP Labs のプロトコルエンジニア Mofi が Granite Network Upgrade というアップグレード提案を発表しました。この提案は、Spearbit、Cantina、Code4 rena が一連の第三者によるセキュリティ監査で発見したセキュリティ脆弱性に対処することを目的としています。関連する脆弱性は未利用であり、ユーザーの資産はこれまで脅威にさらされたことはありません。この提案では、監査で発見された脆弱性を修正するための一連のスマートコントラクトのアップグレードと、エラー防止システムの安定性と性能を向上させるための L2 ハードフォークが含まれるとされています。慎重を期すために、脆弱性修正中に潜在的な不安定要因が発生しないように、許可されたロールバックメカニズムが開始されました。この提案が投票で承認されれば、Granite Network Upgrade は UTC 時間 9 月 10 日 16:00 に実施される予定です。このアップグレードは、Base と Conduit と調整の上、内部開発ネットワークおよび Sepolia Superchain で開始される予定です。

ChainCatcher のメッセージによると、マイクロソフトの公式ページで明らかにされたところによれば、最近 Windows システムに深刻なセキュリティ脆弱性が発覚しました。脆弱性の番号は CVE-2024-38063 で、この脆弱性はすべてのサポートされている Windows バージョンに影響を与えます。これには Windows 11、Windows 10、および複数のバージョンの Windows Server が含まれます。脆弱性の CVSS3.1 スコアは 9.8 で、「重要」レベルに分類されます。攻撃者は特製の IPv6 データパケットを通じてデバイスにリモート侵入し、任意のコードを実行することができます。この脆弱性は Windows の TCP/IP ネットワークスタックに存在し、深刻なリモートコード実行の脆弱性です。攻撃者は Windows デバイスに特製の IPv6 データパケットを繰り返し送信することで脆弱性を引き起こし、ユーザーの操作や認証なしにリモートでコードを実行することができます。マイクロソフトはすべてのユーザーに対し、できるだけ早く最新の Windows バージョンに更新することを強く推奨しています。マイクロソフトはこの脆弱性を修正するための関連パッチをリリースしており、IPv6 を無効にすることで一時的に脆弱性の悪用を防ぐことができます。

ChainCatcher のメッセージによると、The Block が報じたところでは、Solana の開発者、バリデーター、クライアントチームが協力して深刻なセキュリティ脆弱性を解決しました。Solana のバリデーターである Laine は、このプロセスが 8 月 7 日に始まったと述べています。その時、Solana 財団は著名なネットワークオペレーターにプライベートチャネルを通じて連絡を取りました。この連絡は、脆弱性があらゆる方法で悪用されるのを防ぐことを目的とした秘密のパッチ戦略の一部です。このパッチは Anza エンジニアの GitHub リポジトリを通じて提供され、オペレーターが変更を独自に検証し、適用できるようにしました。UTC 時間 8 月 8 日木曜日 14:00 までに、パッチの実施に関する詳細が各利害関係者に配布され、最終的に 66.6% のネットワークのステークが確保されました。70% のネットワークがパッチを実装した後に、この脆弱性が公開されました。

ChainCatcher のメッセージによると、The Block の報告では、Terra ブロックチェーンがネットワークにセキュリティの脆弱性があることを報告し、トークンが盗まれたとされています。未知の攻撃者が、クロスチェーン契約呼び出しとトークン移動を実現するためのサードパーティモジュール「IBC hooks」に関連する既知の脆弱性を悪用しました。犯罪者はこの脆弱性を利用して、USDC ステーブルコインや Astroport トークンを含むブリッジ資産の価値を盗みました。初期の推定では、約 300 万ドル相当のトークンが影響を受けた可能性があります。この事件が発覚した後、Terra は緊急措置を実施し、Terra チェーンはブロック高 11430400 で短期間停止し、その間は取引を処理しません。Terra は Terra (phoenix-1) 上のバリデーターと協力し、その後、疑わしい脆弱性を修正するための緊急パッチを適用します。

ChainCatcher のメッセージ、ブロックチェーンプラットフォーム Casper Network チームは、セキュリティの脆弱性を発見した後、迅速に行動を取り、Casper Association、Casper Labs などのバリデーターコミュニティと協力してネットワークを一時停止しました。セキュリティの脆弱性の影響を最小限に抑え、潜在的な悪用を防ぐために、ネットワークの一時停止は、脆弱性が完全に解決されるまで取引を処理できないことを保証します。Casper の公式声明によると、セキュリティの脆弱性は制御されています。ブロック 3,329,418（14544）において、バリデーターはすべての取引を停止し、送金、マイニング、ステーキングを含む活動を実質的に凍結しました。

ChainCatcher のメッセージ、コミュニティに「LI.FI：新たに 4 つのセキュリティ脆弱性が発見され、LI.FI プロトコルと相互作用するすべてのユーザー資金が危険にさらされています」というメッセージが出回っています。調査の結果、関連するメッセージはフィッシング詐欺の偽アカウントによって発信されたものであり、LI.FI の公式メッセージではありません。ユーザーに対して、絶対に相互作用やクリックをしないように注意を促します。

ChainCatcher のメッセージによると、Cointelegraph は、Bitcoin Core 開発者が「クリティカルバグ」開示ポリシーを導入したと報じており、これはビットコインのセキュリティ脆弱性に関するコミュニケーションをより効果的に行うことを目的としています。Bitcoin Core 開発者の Antoine Poinsot と他の五人は、7 月 3 日に Bitcoin Development メーリングリストのメンバーに宛てた手紙の中で、「このプロジェクトは、外部からの報告や貢献者が発見したものを問わず、セキュリティに関わる重要な脆弱性を公開することにおいて、常に不十分でした。人々は Bitcoin Core にバグがないという危険な見解を持っており、それは危険であり、残念ながら正確ではありません。」と述べています。

ChainCatcher のメッセージによると、ブロックチェーンセキュリティ機関 CertiK は、Kraken 取引所で一連の深刻な脆弱性を発見したとソーシャルプラットフォームで発表しました。これらの脆弱性は、数億ドルの潜在的損失を引き起こす可能性があります。CertiK の調査によると、Kraken の入金システムは異なる内部転送状態を効果的に区別できず、悪意のある行為者が入金取引を偽造し、偽の資金を引き出すリスクが存在します。テスト中に、数百万ドルの偽の資金が Kraken アカウントに入金され、100 万ドル以上の偽の暗号通貨が有効な資産に変換されて引き出される可能性があり、Kraken システムは何の警告も発しませんでした。CertiK が Kraken に通知した後、Kraken は脆弱性を「深刻」（Critical）として分類し、問題を初期的に修正しました。しかし、CertiK は、Kraken のセキュリティチームがその後、CertiK の従業員に対して脅迫し、不合理な時間内に不一致の暗号通貨を返済するよう要求し、返済先のアドレスを提供しなかったと指摘しています。ユーザーの安全を守るために、CertiK はこの件を公表し、Kraken に対してホワイトハッカーへのいかなる脅威も停止するよう呼びかけ、リスクに対処するための協力を強調し、Web3 の未来を共に守ることを訴えました。