ChainCatcher メッセージ、イーサリアム共同創設者 Vitalik Buterin が Bountycaster にて「サブリニアステーキング契約（Sublinear Staking Contract）の脆弱性バウンティ」を発表しました。賞金総額は 2 ETH で、契約内のいかなるエラー / 脆弱性を特定し、具体的な修正提案を行うことを目的としています。複数の問題が発見された場合、賞金は深刻度に応じて配分されます。具体的な要件は、発表されたサブリニアステーキング契約において、ユーザーがホワイトリストに登録されている場合（ERC1155 コレクションとして指定）、N 個のコインをステーキングでき、各スロットで N ** 0.75 個のコインのリターンを得ることができます。契約が支払いに必要なトークンを持っている限り、これが可能です。資金が尽きた場合でも、fundedUntil メカニズムにより、各ステーキング者は fundedUntil タイムスタンプ以前の各期間に報酬を受け取ることが保証されており、このメカニズムは部分準備金にはなりません。

ChainCatcher のメッセージ、クロスチェーン相互運用性プロトコル LayerZero の CEO ブライアン・ペレグリーノがソーシャルメディアで Across Protocol チームに宛てて次のように述べています。「あなたたちのトークン契約には重要な問題があります。内部のプライベート関数であるべき機能が誤って公開されており、この機能は Open Zeppelin がその ERC20 トークン実装で記述したもので、トークンを破棄することを目的としています。そして、これにより契約の所有者に与えられています------これにより、あなたたちはいつでもどのウォレットからでもトークンを引き出すことができ、任意のアカウントの残高を 0 にすることができます。さらに、あなたたちの Across Protocol と UMA Protocol の契約には無限の鋳造能力がありますが、私はこの二つの問題について通知しましたが、あなたたちは気にしていないようです。この問題を解決するためにトークンを再発行する必要はありません：契約の所有権を新しいスマートコントラクトに移転し、鋳造量が総供給量を超えないようにし、破棄を許可しないようにします。これは永久的な脆弱性であるため、新しい契約は不変でなければならず、所有権を移転する機能を含めてはいけません。もし活発な脆弱性報奨プログラムがあるなら、この情報を LayerZero チームに帰属させることができます。」

ChainCatcher のメッセージによると、Coin98 Analytics の統計によれば、最近記録された前 15 件の暗号攻撃事件は合計で約 3.13 億ドルの損失をもたらしました。そのうち、9 件の攻撃は契約の脆弱性によるもので、残りはマルウェア、フラッシュローン攻撃、または未知の攻撃手法によるものです。

ChainCatcher のメッセージによると、CertiK Alert の監視により、8 月の暗号分野では脆弱性、ハッキング、詐欺により約 3.006 億ドルの損失が発生し、そのうち約 1030 万ドルが回収されました。これは 2024 年の時点での単月損失としては二番目に高いものです。その内訳は：退出詐欺（Exit Scam）：約 80 万ドルフラッシュローン：約 120 万ドルコントラクトの脆弱性攻撃：約 3.088 億ドル

ChainCatcher のメッセージ、Nexera は発表し、チームが NXRA トークンを含むスマートコントラクトの脆弱性を調査していることを伝えています。調査結果はまだ最終的に確定していませんが、いくつかの情報を共有できます：NXRA トークンのコントラクトは一時停止され、DEX の取引は停止しました。私たちは CEX と協力して取引を停止しています；全員に取引を停止することをお勧めします。現在、脆弱性の調査を続けており、できるだけ早くフォローアップの措置を講じます。この問題を最優先で解決します。以前のニュースによると、Cyvers Alerts システムの監視により、オンチェーンオーダーブックプロトコル Nexera の代理コントラクトに疑わしい取引が存在することが確認されました。あるアドレスが代理コントラクトの所有権を取得し、アップグレードを行いました。その後、当該アドレスは出金管理機能を使用してすべての NXRA トークンを移転しました。現在、そのアドレスはすべてのトークンを ETH に交換するために販売しており、一部の資金は BNB チェーンにブリッジされています。総推定損失は約 150 万ドルです。

ChainCatcher のメッセージによると、Cyvers Alerts の監視により、Blast エコシステムプロジェクト Bloom に契約の脆弱性が発生し、総損失は 60 万ドルに達しました。攻撃者はすべての盗まれた資金を ETH ネットワークに移転しました。

ChainCatcher のメッセージによると、DL News の報道に基づき、パブリックチェーンプロジェクト Harmony のエコシステム参加者である Aaron Li が報告したところによると、昨年 12 月、Harmony はステーキング契約に脆弱性があったため、一部のステーキングユーザーが 1.5 億枚の ONE トークンを過剰に受け取り、その価値は約 220 万ドルに相当します。Aaron Li は、Harmony チームが報告が公開されてから 5 日間、この脆弱性に対して正面からの対応をしなかったと非難し、その結果問題が拡大し続けたと述べています。最終的に、Aaron Li はこの問題を自ら調査することを決定し、12 月 12 日に一時的な解決策を見つけました。一方、Harmony のソフトウェアエンジニアである Casey Gardiner は、Aaron Li が「脆弱性を適時に報告しなかった」と非難し、脆弱性の期間中に ONE トークンを売却したと主張しています。

ChainCatcher のメッセージ、Web3 開発者プラットフォーム Thirdweb は、ソーシャルメディアで発表し、北京時間 11 月 21 日 10:00 に Web3 業界で一般的に使用されるオープンソースライブラリにセキュリティ脆弱性が存在することを発見しました。これは、Web3 エコシステム内のさまざまなスマートコントラクトに影響を及ぼし、Thirdweb のいくつかのプリビルドスマートコントラクトも含まれます。これまでの調査によると、この脆弱性はまだどの ThirdWeb スマートコントラクトでも悪用されていません。しかし、スマートコントラクトの所有者は、北京時間 11 月 23 日 11:00 までに ThirdWeb 上で作成された特定のプリビルドコントラクトに対して緩和策を講じる必要があります。影響を受けるプリビルドコントラクトには、DropERC20、ERC721、ERC1155（すべてのバージョン）、および AirdropERC20 が含まれますが、これに限りません。

ChainCatcher のメッセージによると、Arbitrum エコシステムの DEX GMBL.COMPUTER は X プラットフォームで本日の署名鍵漏洩事件の経緯を説明し、誰かが「呼び出し」を偽造し、サーバーから署名を取得し、その署名を契約に渡して、契約から約 500 ETH（現在の価格で約 81.5 万ドル）の GMBL を引き出したと述べています。GMBL.COMPUTER は、これは契約の脆弱性ではなく、現在チームは問題の根源を特定したと述べています。鍵の漏洩はオフチェーンで発生した行為であり、チームは攻撃者のすべての情報を把握しており、資金の回収を開始する予定です。彼らは脆弱性報奨金を提供し、資金が返還されれば法的措置は取らないとしています。

ChainCatcher のメッセージ、DefiLlama の創設者 0xngmi がツイートで、NFT 市場 Foundation の NFT コントラクトに脆弱性があり、ファウンデーションチームがプラットフォーム上で鋳造されたほぼすべての NFT を破壊できると述べています。Foundation のコレクションコントラクトは、デプロイのガスを節約するために転送プロキシパターンを使用しており、これはすべてのコレクションが単一のコントラクトを呼び出してそのコードを使用することに問題はなく、ファウンデーションのコレクションには、作成者が NFT なしでそれを破壊できる機能があります。現在、ファウンデーションチームのコントラクトの所有権は 6 人のうち 2 人のマルチシグによって保持されています。0xngmi は、修正方法として、実装コントラクトで 1 つの NFT を鋳造し、それを破壊アドレスに転送することでこのバックドアを削除できると述べていますが、彼は 6 か月前にファウンデーションにこの問題を開示しましたが、今まで修正されていません。（出典リンク）

ChainCatcher のメッセージによると、分散型取引所 Level Finance がセキュリティの脆弱性に直面し、攻撃者が Level Finance のスマートコントラクト内の「請求倍率」の脆弱性を利用して、取引所から 214,000 以上の LVL トークンを盗み、100 万ドル以上の価値を持ち、LVL を 3345 BNB に交換しました。（出典リンク）

ChainCatcher のメッセージ、反フィッシングソリューション Scam Sniffer は、まだ 1200 以上のアドレスが SushiSwap コントラクトの脆弱性に関連する権限を撤回していないことを警告しています。（出典リンク）

ChainCatcher のメッセージによると、PeckShield の監視により、SushiSwap の RouterProcess2 コントラクトに approve に関連する脆弱性が存在するようです。このため、Frog Nation の前 CFO である 0xSifu が約 1900 ETH（超 330 万ドル）を失いました。ユーザーが該当するコントラクトを承認している場合は、できるだけ早く権限を削除してください。（出典リンク）

ChainCatcher のメッセージによると、The Block の報道では、非管理型貸付プラットフォーム BonqDAO と暗号インフラプラットフォーム AllianceBlock が BonqDAO のスマートコントラクトの脆弱性によりハッキングされ、約 8800 万ドルの損失を被ったとのことです。ハッカーは BonqDAO の金庫から約 1.14 億 WALBT（AllianceBlock のラップされたネイティブトークン）と 9800 万 BEUR トークンを移動させました。この金庫はユーザーによって管理されており、ユーロに連動した支払いトークン BEUR の鋳造に使用されています。現在、この脆弱性の技術的な原因は不明ですが、ハッカーは約 120 万ドルのトークンを販売しましたが、流動性が不足しているため、すべてを安定コインまたは ETH に変換するのは困難です。さらに、AllianceBlock はこの事件が BonqDAO の金庫とは無関係であり、スマートコントラクトが破損していないと述べています。両チームは流動性を排除するために取り組んでおり、ハッカーが盗まれたトークンを他の資産に変換する行為を軽減するために、すべての取引所での取引を停止しました。また、AllianceBlock は状況が解決されるまで AllianceBlock ブリッジのクロスチェーンブリッジを一時停止しました。（出典リンク）

ChainCatcher のメッセージによると、複数のユーザーからの報告に基づき、Optimism に基づくオプション流動性集約プロトコル Polynomial Protocol に脆弱性が存在し、攻撃者が契約を展開して約 5000-6000 枚の USDC を一括で盗んだとのことです。Polynomial チームの責任者は次のように応答しました："攻撃事件は数週間前のことで、チームは discord コミュニティに通知し、皆に権限を取り消すよう求めました。この契約アドレスはコア契約ではなく、外部の実用ツール契約です。影響を受けた方は、フォームに記入して補償を受けてください"。（出典リンク）

ChainCatcher のメッセージによると、ブラウザのセキュリティプラグイン Pocket Universe は、Opensea の旧契約に新たな脆弱性が発見されたと報告しています。この脆弱性は、ユーザーの NFT を盗むために利用される可能性があり、取引が署名されるとウォレットが空にされる恐れがあります。この脆弱性は、2022 年 5 月以前（つまり Seaport アップグレード以前）に Opensea にリストされた任意の NFT を盗むことができます。Opensea は以前、Wyvern プロトコルを使用して注文をマッチングしており、ユーザーが NFT を上場する際に代理契約に NFT の引き出し権限（通常の setApprovalForAll 権限）を付与していました。そのため、この代理契約は、2022 年 5 月以前にユーザーがリストした NFT を取り消す権限を持っています。新しい脆弱性の利用は、ユーザーに取引に署名させることで、攻撃者がユーザーの代理契約の所有権を持つように仕向け、その結果、ユーザーの NFT を引き出す権限を得ることになります。（出典リンク）

チェーンキャッチャーのメッセージ、NFT分野のリスクを専門に提示する調査プロジェクトRug Pull FinderのNFT契約の脆弱性が悪用され、その中の2つのアドレスが無料ミント段階でこのプロジェクトの技術的欠陥を利用し、可能な1221枚のNFTから450枚のNFTを盗みました。これらのNFTは本来、各アドレスが1枚しかミントできない制限がありました。チームは脆弱性が悪用された後すぐに、関与した一人に取引を提供し、330枚のNFTを回復するために2.5枚のETHの報酬を支払い、受け入れられました。（Cointelegraph）