ChainCatcher のメッセージによると、SlowMist の創設者である余弦は X プラットフォームで DEXX の盗難事件を振り返り、事件の主な原因は DEXX が使用していた ZenTao プラットフォームのいくつかの脆弱性が悪用され、外部から侵入されたことだと述べています。その後、関連する生産ネットワークのサーバーおよびデータベースの権限が奪われ、すべての痕跡分析がこの攻撃経路を再現しました。つまり、DEXX も被害者ですが、安全管理の不備に責任があります。さらに、DEXX はこの生死存亡のハッカー事件での対応はかなり混乱していましたが、最終的に賠償作業を行うことができたため、この業界では 99.99% のプロジェクトを瞬時に超えています。

ChainCatcher のメッセージによると、SlowMist の余弦は X プラットフォームで、GitHub Actions CI/CD メカニズムを利用して Coinbase に対するサプライチェーン攻撃を行ったと発表しました。幸いにも、攻撃は成功しなかったため、次に暴露されるセキュリティ事件は Coinbase に対するものであったでしょう。GitHub 上のサプライチェーン攻撃の経路は次の通りです：reviewdog/action-setup -> tj-actions/changed-files -> coinbase/agentkit -> GitHub Personal Access Token（PAT）やクラウドサービスに関連するキーなどを盗む。余弦は、企業が reviewdog または tj-actions を使用している場合は、自己点検を行うべきだと提案しています。

ChainCatcher のメッセージ、SlowMist の余弦が明らかにしたところによると、先頭と末尾が似たアドレスを使ったフィッシング手法が依然として広く存在し、ブロックチェーン業界の安全基盤に深刻な影響を与えています。余弦は、このようなウォレットの取引履歴を狙った汚染攻撃には、主にいくつかの技術があると指摘しています。これには、偽のトークン契約コードを使用して虚偽のイベントログを生成し、ブロックエクスプローラーやウォレットを欺くこと、また、ゼロ金額の送金イベントログで from/to フィールドに任意のアドレスを記入することが含まれます。これらの手法は、ユーザーに取引が自分の操作から来たと誤解させる可能性があります。他の一般的な手法には、先頭と末尾の文字が同じの送信元アドレスから少額の資金を送ること、クリップボードハイジャック技術を組み合わせること、そして有名な分散型取引所を装って虚偽のイベントログを出力することなどがあります。余弦は、ユーザーがウォレットのホワイトリスト機能を活用し、完全なアドレスを慎重に確認し、有名なハードウェアウォレットと組み合わせて二重確認を行うなどの対策を講じることを推奨しています。以前の報道によると、過去 14 時間以内に 2 つのアドレスが「取引履歴汚染攻撃」を受け、合計で 14 万ドル以上の損失が発生しました。

ChainCatcher のメッセージによると、SlowMist の余弦が発表したところによれば、複数のユーザーが正しいネットワーク環境に切り替えずに、資金を誤って Magma プロジェクトの Monad テストネットのアドレスコントラクトに転送してしまったとのことです。余弦は、取引データとスマートコントラクトコードを分析することで、これらの資金の転入はユーザーがイーサリアム、バイナンススマートチェーンなどの複数のブロックチェーン上で Magma プロジェクトの depositMon() や withdrawMon() などの関数を実行する際に、Monad テストネットに正しく切り替えなかったことが原因であると確認しました。この問題は、ウォレットアプリケーションやプロジェクトのフロントエンドのネットワーク切り替えメカニズムが不十分であることに起因している可能性があります。余弦は、プロジェクト側が関連するブロックチェーン上に対応するコントラクトを作成することで資金返還メカニズムを実現できると述べており、影響を受けたユーザーは直接 Magma プロジェクト側に連絡して助けを求めるべきです。

ChainCatcher のメッセージ、SlowMist の余弦が X プラットフォームで投稿しました：「悪意のある拡張機能は、ターゲットページの Cookies や localStorage 内のプライバシー（アカウント権限情報や秘密鍵情報など）、DOM 改ざん、リクエストハイジャック、クリップボードの内容取得などを行うことができます。manifest.json で関連する権限設定を行うだけです。ユーザーが拡張機能の権限要求に注意を払わなければ、厄介なことになります。しかし、悪意のある拡張機能が他の拡張機能、例えば有名なウォレット拡張機能を直接攻撃するのは簡単ではありません...なぜならサンドボックスが隔離されているからです...例えば、ウォレット拡張機能に保存されている秘密鍵やリカバリーフレーズに関する情報を直接盗むことはほぼ不可能です。特定の拡張機能の権限リスクが心配な場合、そのリスクを判断するのは実際には簡単です。拡張機能をインストールした後、まずは使用せずに拡張機能 ID を確認し、コンピュータのローカルパスを検索し、拡張機能のルートディレクトリにある manifest.json ファイルを見つけ、そのファイルの内容を直接 AI に渡して権限リスクの解釈をしてもらえば良いのです。隔離思考があれば、知らない拡張機能には別々に Chrome プロファイルを有効にすることを検討できます。少なくとも悪意のある行為は制御可能であり、ほとんどの拡張機能は常に有効にする必要はありません。」

ChainCatcher のメッセージ、SlowMist の創設者である余弦がソーシャルメディアに投稿し、「コンピュータに対するソーシャルエンジニアリングによるマルウェア攻撃が最近数日間に集中して発生しており、昨日は 3 件の対応を行いました。Mac コンピュータを使用しているからといって安全だと思っている人々に再度警告しますが、実際の状況は非常に悪化しています。公式以外のソースからのアプリを安易にインストールしないようにしてください。公式のソースからでも問題が発生する可能性があります」と述べています。

ChainCatcher のメッセージ、SlowMist の余弦が X プラットフォームで投稿し、Safe マルチシグやその他のマルチシグ（技術的なモードは問わず）を使用している場合、以下の点に注意する必要があります：すべての署名ステップは必ず検証可能であるべきです。技術に詳しい友人がいくら頑張っても検証できない場合は、デフォルトで疑うべきです；せっかくマルチシグを使用しているので、ハードウェアウォレットと組み合わせることができれば、特に複雑な署名解析をうまく行い、署名異常リスクを適切に警告できるものであれば、ぜひ組み合わせて使用してください。安全な考え方は、常に一方を信じないことです。単一のリスクが発生する可能性があるため、できるだけ多くの側面から検証することが重要です。

ChainCatcher のメッセージ、Slow Mist の余弦が発表した内容によると、「Bybit が近く 15 億ドルの ETH 資産を盗まれ、一部が回収されたものの、他はすでにイーサリアムを離れ、大多数がビットコインネットワークに入り、ビットコイン上で複雑なマネーロンダリング操作が行われており、THORChain のノードオペレーターはかなりの利益を得ている。」

ChainCatcher のメッセージ、SlowMist の創設者である余弦がツイートで述べています。「もしアンチウイルスソフトウェアがあなたのブラウザ拡張を誤検知した場合、例えばあるウォレット拡張の js ファイルが誤って報告された場合、アンチウイルスソフトウェアは一般的に隔離処理を行います。そのため、このウォレット拡張は壊れて開けなくなります。この時、隔離からファイルを復元することができ、削除しないようにしてください。削除した場合、ウォレット拡張もアンインストールしないでください。ローカルの暗号化された秘密鍵に関連するファイルには、復元のチャンスがあります。」

ChainCatcher のメッセージによると、SlowMist の余弦が X プラットフォームで発表したところによれば、Safe は最終的に攻撃を受けたとのことです。確かにスマートコントラクト部分には問題はなく（チェーン上で簡単に検証可能）、しかしフロントエンドが改ざんされ、偽造されて欺瞞的な効果を達成しました。なぜ改ざんされたのかについては、Safe の公式からの詳細な発表を待つ必要があります。Safe は一種のセキュリティインフラストラクチャと見なされており、理論的にはこのマルチシグウォレットを使用するすべての人が Bybit のように盗まれる可能性があります。フロントエンドや API などのユーザーインタラクションサービスを持つ他のすべても、このようなリスクを抱えている可能性があります。これはクラシックなサプライチェーン攻撃の一種であり、巨額または大額の資産のセキュリティ管理モデルは大幅なアップグレードが必要です。

ChainCatcher のメッセージ、SlowMist の余弦が X プラットフォームで投稿したところによると、Bybit が行った Lazarus Group に対する報奨サイトは、とても興味深い。数日前、Bybit は約 15 億ドルの盗まれた資金がありました。10% の回収報奨金、5% は資金を凍結した実体に、5% は資金追跡に貢献した者に与えられます。もし特定の実体が 5% を超えるマネーロンダリングの手数料を受け取れない場合、完全に裏切ることができます。

ChainCatcher のメッセージ、Slow Mist の創設者余弦がソーシャルプラットフォームで発表したところによると、昨年神魚から 1.2 万枚の ETH が盗まれたのは東欧のハッカー組織 Inferno Drainer の仕業であり、北朝鮮のハッカーではないとのこと。マネーロンダリングの手法には北朝鮮のハッカーと若干の共通点があり、資金の回収は非常に困難である。

ChainCatcher メッセージ、SlowMist 余弦監視、Infini ハッカーは技術に精通しており、スマートコントラクトの操作を理解しているため、1つの秘密鍵でその Vault および関連する戦略の資金を盗むことができ、2回盗まれました：11,455,666 USDChttps://etherscan.io/tx/0xacf84c5944f662a4fcf783806993d713a150994932008e72e4e47a58d6665f7f38,060,996 USDChttps://etherscan.io/tx/0xecb31ff694c0e6c5e5b225c261854c0749ecf5d53c698fcda61f2d8e3db8f9fc

ChainCatcher のメッセージ、SlowMist の余弦は Infini の創設者 @Christianeth に応じて、Infini の攻撃事件を全面的にフォローアップしており、攻撃者はかなり技術に詳しい人物であると述べました。

ChainCatcher のメッセージによると、SlowMist の創設者である余弦はソーシャルプラットフォームで次のように述べています。「証拠分析と関連追跡を通じて、CEX の盗難事件の攻撃者が北朝鮮のハッカー組織 Lazarus Group であることを確認しました。これは暗号通貨取引プラットフォームに対する国家レベルの APT 攻撃です。関連する IOC（Indicators of Compromise）を共有することに決定しました。その中にはいくつかのクラウドサービスプロバイダーやプロキシなどの IP が利用されています。注意が必要なのは、本記事の開示ではどのプラットフォームであるかは言及されておらず、Bybit であるとも言っていません。もし類似の事例があれば、それは本当に不可能ではありません。」攻撃者は pyyaml を利用して RCE（リモートコード実行）を行い、悪意のあるコードを配信し、ターゲットのコンピュータやサーバーを制御しました。この方法はほとんどのウイルス対策ソフトウェアの検出を回避しました。パートナーと情報を同期した後、さらに複数の類似の悪意のあるサンプルを取得しました。攻撃者の主な目標は、暗号通貨取引プラットフォームのインフラを侵入し、ウォレットの制御を取得し、その結果としてウォレット内の大量の暗号資産を不正に移転することです。SlowMist は Lazarus Group の攻撃方法を明らかにするまとめ記事を発表し、社会工学、脆弱性の悪用、権限の昇格、内部ネットワークへの侵入、資金移転などの一連の戦術を分析しました。また、実際のケースに基づいて APT 攻撃に対する防御の提案をまとめ、業界に参考を提供し、より多くの機関がセキュリティ防護能力を向上させ、潜在的な脅威の影響を減少させることを願っています。

ChainCatcher のメッセージによると、SlowMist の余弦氏は、すでに大量の ETH が eXch を通じて洗浄され、BTC や XMR などに交換されていることを考慮し、すべてのプラットフォームは eXch からの資金に対してリスク管理レベルを引き上げるべきだと述べています。

ChainCatcher のメッセージ、SlowMist の余弦が X プラットフォームで発表しました：「mETH Protocol にいいねを押して、迅速に審査に介入し、Bybit から盗まれた 15,000 cmETH を取り戻しましょう。この時点で、このような審査や介入に賛成する人は圧倒的に多いです。mETH Protocol についてはまだ理解していませんが、もう一つ興味深い安全バランス設計の例を挙げることができます：Renzo の ezETH コントラクトには権限が大きすぎる問題があります。例えば、アップグレード可能で、mint/burn できるなどですが、オーナーはマルチシグで、タイムロッカーが付いており、7 日間の猶予があります。また、提案モードも導入されています。したがって、もし ezETH が悪用しようとした場合、迅速に発見すれば、全員が 7 日間のバッファタイムを持って選択を行うことができます。このような安全バランスモデルは、イーサリアムエコシステムでは非常に成熟しています。」

ChainCatcher のメッセージによると、SlowMist の創設者である余弦は、ソーシャルメディアで、安全の観点から、理由が不明な場合にウォレットシステムを緊急停止することを提案するのは正しいと述べています。Bybit は今回の盗難に対して非常に迅速に対応し、問題の特定も迅速でした。SlowMist およびいくつかのセキュリティチームは、その時点で迅速にコミュニケーションを取り、問題を特定し、ハッカーのプロファイルを推測しました。Bybit はすべての準備が整い、適時に出金を再開することに問題はありません。余弦は、彼が以前の赵长鹏の提案と Bybit の最終的な解決には問題がないと考えていると説明しています。現在、多くの業界関係者がこの論争で内輪もめをしていますが、共通の敵は北朝鮮のハッカーであることを忘れています。以前のメッセージでは、赵长鹏は Bybit にすべての出金を一時停止することを提案し、必要があればあらゆる支援を提供すると述べています。

ChainCatcher のメッセージによると、SlowMist の余弦が X プラットフォームで発表したところによれば、Safe コントラクトには問題がなく、問題はコントラクト以外の部分にあり、フロントエンドが改ざんされて偽造され、欺瞞効果を達成しているとのことです。これは個別のケースではありません。北朝鮮のハッカーは昨年、いくつかの企業を攻撃しました。例えば：WazirX 230M USDT Safe マルチシグRadiant Capital 50M USDT Safe マルチシグDMM 305M USDT Gonco マルチシグこのような攻撃手法は工学的に成熟しています。他の企業も注意が必要で、マルチシグには Safe 以外にもこのような攻撃ポイントが存在する可能性があります。

ChainCatcher のメッセージ、Slow Mist の余弦が X プラットフォームで投稿しました："今のところ明確な証拠はありませんが、Safe マルチシグの手法や現在のマネーロンダリングの手法を見ると、北朝鮮のハッカーのようです。北朝鮮のハッカー、もし私があなたたちを誤解していたら、訂正してください。謝罪します..."