ChainCatcher のメッセージによると、Haven Protocol は「範囲証明検証」に脆弱性があり、攻撃を受けました。この脆弱性により、ハッカーは気づかれずに不正に XHV を鋳造することが可能です。取引所が報告した XHV の数量は 5 億枚を超えていますが、監査データによると現在の供給量は 2.63 億枚のみで、超過分はすべて脆弱性を通じて生成された可能性があります。現在、チームは問題が Haven 3.2 の Monero に基づく再構築後に導入された「範囲証明検証」機能に脆弱性があることを確認しており、チームは取引所にすべての取引ペアの取引を停止するよう提案しています。

ChainCatcher のメッセージ、SlowMist の余弦が X プラットフォームで投稿し、ある有名なボットプラットフォームがホワイトハットによって関連する脆弱性が発見されたと述べています。これにより、秘密鍵が漏洩する可能性があります。ホワイトハットはフィードバックを行いましたが、脆弱性報酬の問題でいくつかの論争が生じたようです。ホワイトハットは、このボットプラットフォームが将来的に DEXX のようにハッキングされるリスクがあることを懸念しており、その際に当時残した痕跡が調査されることを心配しています。そのため、彼は自身の無実を証明するために情報を求めています。余弦は、中立性を保つために特に明記しています：ここで言う「ホワイトハット」という言葉は必ずしもホワイトハットを指すわけではなく、誰が正しいか、誰が多いか少ないかを検証することはできません。将来的にこのボットプラットフォームがハッキングされた場合、ホワイトハットが共有した情報が検証に役立つ可能性があります。

ChainCatcher のメッセージ、機械知能ネットワーク Spectral は事後報告を発表し、その Syntax プラットフォームが 12 月 1 日にセキュリティ脆弱性攻撃を受けたことを明らかにしました。Spectral は Bonding Curve コントラクト内の脆弱性を特定し修正したと述べ、今後同様の攻撃が再発しないようにしています。現在、Zellic に更新されたコントラクトの監査を委託しており、攻撃前の状態に Bonding Curve を復元するために SPEC トークンを追加する予定です。プロジェクトチームは、監査が完了次第プラットフォームの運営を再開すると述べています。

ChainCatcher のメッセージによると、分散型取引所（DEX）Clipper は、その出金機能に脆弱性が存在し、最近そのプロトコルがハッカーによって攻撃され、損失額が 45 万ドルに達したと明らかにしました。これは「第三者」が言うような秘密鍵の漏洩ではありません。Clipper は次のように述べています：「攻撃者は 12 月 1 日に 2 つの流動性プールを利用し、総価値の約 6% をロックしました。第三者が秘密鍵の漏洩問題があると主張していますが、私たちは事実がそうではないことを確認でき、Clipper の設計およびセキュリティアーキテクチャと一致しません。トークン形式（バンドル交換 + 入金/出金取引）での出金機能は無効化されています。」以前、セキュリティ会社 Fuzzland の共同創設者が X で投稿し、Clipper が「API の脆弱性（秘密鍵の漏洩など）によりハッカーに攻撃された」と述べ、さらにその API に脆弱性が存在し、攻撃者が入金および出金リクエストに署名し、彼らが預けた以上の資金を盗むことができる可能性があると補足しました。

ChainCatcher のメッセージ、Spectral の公式が X プラットフォームで発表したところによると、リリースされた Syntax プラットフォームの一部トークンに取引中のセキュリティ脆弱性が存在し、この脆弱性により約 20 万ドルの流動性が削除される可能性があります。この問題に対処するために、Spectral チームはプラットフォームとユーザーの安全を確保するために迅速に措置を講じました。具体的には：Syntax アプリのアクセス権を一時的に無効化；さらなるプログラムの相互作用を防ぐために、すべてのスマートコントラクトを一時停止。現在、Spectral チームは業界のトップセキュリティ専門家と協力して問題の根本原因を特定し、修正計画を策定して、プラットフォームの正常な運営をできるだけ早く回復させるために取り組んでいます。Syntax チームは、これらの措置がコミュニティの利益を守る最も効果的な方法であると述べており、詳細なフォローアップの更新を迅速に提供することを約束しています。

ChainCatcher のメッセージ、SlowMist の創設者である余弦が X プラットフォームで暗号業界に対する XSS 攻撃について明らかにしました。攻撃者は暗号メディア Cointelegraph のウェブサイトの XSS 脆弱性を利用し、ターゲットユーザーを Cointelegraph の公式リンク（XSS 悪意のあるスクリプトを含む）を開かせるように仕向けました。すると：悪意のあるスクリプトが読み込まれ実行される；アドレスバーが疑わしいアドレスに設定される（見た目は公式に未公開の草稿のように見える）；次に、Sign in with X の偽のポップアップが表示される；Sign in with X をクリックすると、X のサードパーティアプリの認可が開き、権限リストには大きな空白が残されている。この時、注意を払わずに認可をクリックすると、あなたの X に関する権限が攻撃者に奪われてしまいます。このような少しの脆弱性を利用したフィッシングは一般の人々にとって非常に防ぎにくく、注意が必要です。

ChainCatcher のメッセージによると、Dilation Effect は Venus の貸出プロトコルのコアプールシリーズ契約に精度損失の脆弱性が存在することを発見しました。このプロトコルが新しい担保資産を追加する際、攻撃者がその隙を突いて全ての資金を引き出すことが非常に容易になります。具体的には、コアプールの VToken 契約は、redeemUnderlying 関数内で redeemTokens を計算する際に除算の精度損失の問題があります。プロトコルがチェーン上で新しい担保資産を追加する場合、LTV が 0 より大きく、新しい資産プールが空のプール (totalSupply=0) であり、新しい資産がミント可能な場合、ハッカーによって攻撃される可能性があります。これにより、すべてのコアプール内の資金がリスクにさらされます。Dilation Effect は、Venus がこの脆弱性を全面的に修正することを提案しています（関与するすべてのチェーンとすべてのプールをカバー）。取るべき方法としては、redeemTokens を計算する際に除算結果を切り上げる（推奨）、Uniswap の initial_deposit_amount の設計を模倣する、または redeemUnderlying インターフェースを直接削除するなどがあります。

ChainCatcher メッセージ、イーサリアム共同創設者 Vitalik Buterin が Bountycaster にて「サブリニアステーキング契約（Sublinear Staking Contract）の脆弱性バウンティ」を発表しました。賞金総額は 2 ETH で、契約内のいかなるエラー / 脆弱性を特定し、具体的な修正提案を行うことを目的としています。複数の問題が発見された場合、賞金は深刻度に応じて配分されます。具体的な要件は、発表されたサブリニアステーキング契約において、ユーザーがホワイトリストに登録されている場合（ERC1155 コレクションとして指定）、N 個のコインをステーキングでき、各スロットで N ** 0.75 個のコインのリターンを得ることができます。契約が支払いに必要なトークンを持っている限り、これが可能です。資金が尽きた場合でも、fundedUntil メカニズムにより、各ステーキング者は fundedUntil タイムスタンプ以前の各期間に報酬を受け取ることが保証されており、このメカニズムは部分準備金にはなりません。

ChainCatcher のメッセージによると、The Block が報じたところでは、Forta は a16z crypto、Coinbase Ventures およびその他の投資家に支援された Web3 セキュリティ会社であり、新しい製品であるファイアウォールを発表しました。これは、スマートコントラクトの脆弱性を検出し防止するのに役立ちます。このファイアウォールは、FORTRESS と呼ばれる機械学習および人工知能モデルを採用しており、取引ログをチェックすることで高リスク取引を分析および検出します。Forta ファイアウォールのビジネスモデルは、毎月固定料金を請求することですが、Beal は具体的な金額を明らかにすることを拒否しました。初期の顧客には Euler、Plume、Balmy が含まれています。

ChainCatcher のメッセージによると、Cyvers Alerts システムの監視により、polterfinance が Fantom チェーン上での攻撃事件を報告しました。700 万ドル以上の暗号資産が盗まれ、攻撃者は最初に Ethereum で Tornado Cash を通じて資金を取得し、その後資金が Fantom にブリッジされました。チームは直ちに行動を起こしました：プラットフォームを一時停止し、脆弱性を制御します。ブリッジは通知を受け、関与するウォレットは Binance に追跡されました。脆弱性について積極的に調査を行っています。

ChainCatcher のメッセージ、Web3 脆弱性報酬プラットフォーム Immunefi は、ホワイトハットセキュリティ会社 Trust Security に対して 90 日間の停止を実施しました。この決定は、後者が Immunefi に対して脆弱性報酬の支払いを不当に拒否したと非難した後に下されました。なぜなら、後者は資金が盗まれる可能性のある重要な脆弱性を発見したからです。11 月 12 日、Trust Security は X 上で、その報酬チームが未命名プロジェクトのフォークされたメインネット上で重要な資金盗難の脆弱性を発見したことを明らかにしました。この脆弱性の概念実証は Immunefi と共有され、Immunefi はホワイトハットとプロジェクトの間の仲介者として機能し、信頼できる脆弱性の特定に対して報酬が支払われることを保証します。しかし、Immunefi は Trust Security が範囲を超えた脆弱性を検出したと述べました。Trust は、Immunefi がそのプロジェクトの「無意味な主張」の側に誤って立ち、重要な脆弱性を特定するための全額報酬を提供することなく「わずかな善意の報酬」しか提供しなかったと主張しています。Immunefi は、報酬が不公平であるという Trust の主張を反論し、「現在の問題についての誤った説明」を理由に 90 日間の停止命令を発しました。Immunefi は、Trust が再度違反を犯した場合、永久的な禁止を実施すると述べています。

ChainCatcher のメッセージ、アイデンティティおよびアクセス管理ソフトウェアプロバイダーの Okta が公式に発表したところによると、2024 年 10 月 30 日に内部で AD/LDAP DelAuth のキャッシュキー生成時に存在する脆弱性が発見されました。Bcrypt アルゴリズムがキャッシュキーの生成に使用されており、ここで userId + ユーザー名 + パスワードの組み合わせ文字列をハッシュ処理しています。特定の条件下では、ユーザーは以前に成功した認証の保存されたキャッシュキーをユーザー名に提供することで認証を行うことが可能です。この脆弱性の前提は、ユーザーのキャッシュキーを生成するたびに、ユーザー名が 52 文字以上でなければならないことです。影響を受ける製品とバージョンは、2024 年 7 月 23 日までの Okta AD/LDAP DelAuth であり、この脆弱性は 2024 年 10 月 30 日に Okta の本番環境で修正されました。

ChainCatcher のメッセージ、TonBit チームは最近、TON 仮想マシンの中で2つの重要な脆弱性を発見し、修正を支援しました。そのうちの1つの脆弱性は、悪意のあるコントラクトによって利用され、仮想マシンの異常なクラッシュを引き起こし、ネットワークの安定性に影響を与える可能性があります。Ton の公式開発チームは、最新の Github Release で仮想マシンの内部処理方法を調整し、このような攻撃の発生を防ぎました。

ChainCatcher のメッセージによると、Cointelegraph が報じたところによれば、ある Web3 セキュリティ研究者が Cosmos ネットワークのドキュメントを読み、Evmos ブロックチェーンおよびその上に構築されたすべての分散型アプリケーション（DApp）が停止する可能性のある深刻な脆弱性を発見し、150,000 ドルの報酬を得たとのことです。10 月 28 日に公開されたブログ記事で、セキュリティ研究者「jayjonah.eth」は、Cosmos ドキュメントで遭遇した「モジュールアカウント」の概念について次のように説明しています。「これらのアドレス（モジュールアカウント）が受け取る資金が状態機械の期待されるルールを超えると、不変性が破壊され、ネットワークが停止する可能性があります。」Cosmos ドキュメントに基づいて Evmos ブロックチェーンのクラッシュテストを行ったセキュリティ研究者は、テスト環境でモジュールアカウントに資金を送信してこの理論を検証し、「この時点で、ブロックはもはや生成されず、ブロックチェーンは完全に停止しました。これにより、Evmos ブロックチェーンおよびその上に構築されたすべての DApp が破壊されます。」と報告しました。彼は、Evmos チームが情報公開の前にこの脆弱性を修正したことを明らかにしました。

ChainCatcher のメッセージ、Ordinals の創設者 Casey が X プラットフォームでリマインダーを発表し、ユーザーに ord ウォレットを 0.21.2 バージョンに早急にアップグレードするよう呼びかけています。この更新は、"ord wallet send" 機能を使用する際に、正しくお釣りの出力が作成されないために、ルーンが意図せず失われる可能性がある深刻な脆弱性を修正しました。Casey は、入力 UTXO に複数のルーン（A と B）が含まれている場合、ルーン A を送信する過程でルーン B が誤って送信される可能性があると説明しています。この更新では、ウォレットアドレスのメッセージ署名機能も追加され、鋳造進捗の表示問題も修正されました。現在、この脆弱性による資産損失の報告は受けていません。

ChainCatcher のメッセージ、クロスチェーン相互運用性プロトコル LayerZero の CEO ブライアン・ペレグリーノがソーシャルメディアで Across Protocol チームに宛てて次のように述べています。「あなたたちのトークン契約には重要な問題があります。内部のプライベート関数であるべき機能が誤って公開されており、この機能は Open Zeppelin がその ERC20 トークン実装で記述したもので、トークンを破棄することを目的としています。そして、これにより契約の所有者に与えられています------これにより、あなたたちはいつでもどのウォレットからでもトークンを引き出すことができ、任意のアカウントの残高を 0 にすることができます。さらに、あなたたちの Across Protocol と UMA Protocol の契約には無限の鋳造能力がありますが、私はこの二つの問題について通知しましたが、あなたたちは気にしていないようです。この問題を解決するためにトークンを再発行する必要はありません：契約の所有権を新しいスマートコントラクトに移転し、鋳造量が総供給量を超えないようにし、破棄を許可しないようにします。これは永久的な脆弱性であるため、新しい契約は不変でなければならず、所有権を移転する機能を含めてはいけません。もし活発な脆弱性報奨プログラムがあるなら、この情報を LayerZero チームに帰属させることができます。」

ChainCatcher のメッセージ、Tapioca DAO が重大なセキュリティ脆弱性に直面し、攻撃者によって約 440 万ドルの暗号通貨が盗まれ、TAP トークンの価格が 95% 以上暴落しました。攻撃者はソーシャルエンジニアリングを通じて秘密鍵を取得し、大量の資金が移動しました。それにもかかわらず、チームはセキュリティ機関と協力し、1,000 ETH（約 270 万ドル）を安全な場所に移動させることに成功し、さらなる損失を回避しました。現在、ハッカーは依然として一部の盗まれた資産を保持しており、チームは残りの資金を取り戻すために引き続き努力しています。