ChainCatcher のメッセージ、Web3 脆弱性報酬プラットフォーム Immunefi は、ホワイトハットセキュリティ会社 Trust Security に対して 90 日間の停止を実施しました。この決定は、後者が Immunefi に対して脆弱性報酬の支払いを不当に拒否したと非難した後に下されました。なぜなら、後者は資金が盗まれる可能性のある重要な脆弱性を発見したからです。11 月 12 日、Trust Security は X 上で、その報酬チームが未命名プロジェクトのフォークされたメインネット上で重要な資金盗難の脆弱性を発見したことを明らかにしました。この脆弱性の概念実証は Immunefi と共有され、Immunefi はホワイトハットとプロジェクトの間の仲介者として機能し、信頼できる脆弱性の特定に対して報酬が支払われることを保証します。しかし、Immunefi は Trust Security が範囲を超えた脆弱性を検出したと述べました。Trust は、Immunefi がそのプロジェクトの「無意味な主張」の側に誤って立ち、重要な脆弱性を特定するための全額報酬を提供することなく「わずかな善意の報酬」しか提供しなかったと主張しています。Immunefi は、報酬が不公平であるという Trust の主張を反論し、「現在の問題についての誤った説明」を理由に 90 日間の停止命令を発しました。Immunefi は、Trust が再度違反を犯した場合、永久的な禁止を実施すると述べています。

ChainCatcher のメッセージ、アイデンティティおよびアクセス管理ソフトウェアプロバイダーの Okta が公式に発表したところによると、2024 年 10 月 30 日に内部で AD/LDAP DelAuth のキャッシュキー生成時に存在する脆弱性が発見されました。Bcrypt アルゴリズムがキャッシュキーの生成に使用されており、ここで userId + ユーザー名 + パスワードの組み合わせ文字列をハッシュ処理しています。特定の条件下では、ユーザーは以前に成功した認証の保存されたキャッシュキーをユーザー名に提供することで認証を行うことが可能です。この脆弱性の前提は、ユーザーのキャッシュキーを生成するたびに、ユーザー名が 52 文字以上でなければならないことです。影響を受ける製品とバージョンは、2024 年 7 月 23 日までの Okta AD/LDAP DelAuth であり、この脆弱性は 2024 年 10 月 30 日に Okta の本番環境で修正されました。

ChainCatcher のメッセージ、TonBit チームは最近、TON 仮想マシンの中で2つの重要な脆弱性を発見し、修正を支援しました。そのうちの1つの脆弱性は、悪意のあるコントラクトによって利用され、仮想マシンの異常なクラッシュを引き起こし、ネットワークの安定性に影響を与える可能性があります。Ton の公式開発チームは、最新の Github Release で仮想マシンの内部処理方法を調整し、このような攻撃の発生を防ぎました。

ChainCatcher のメッセージによると、Cointelegraph が報じたところによれば、ある Web3 セキュリティ研究者が Cosmos ネットワークのドキュメントを読み、Evmos ブロックチェーンおよびその上に構築されたすべての分散型アプリケーション（DApp）が停止する可能性のある深刻な脆弱性を発見し、150,000 ドルの報酬を得たとのことです。10 月 28 日に公開されたブログ記事で、セキュリティ研究者「jayjonah.eth」は、Cosmos ドキュメントで遭遇した「モジュールアカウント」の概念について次のように説明しています。「これらのアドレス（モジュールアカウント）が受け取る資金が状態機械の期待されるルールを超えると、不変性が破壊され、ネットワークが停止する可能性があります。」Cosmos ドキュメントに基づいて Evmos ブロックチェーンのクラッシュテストを行ったセキュリティ研究者は、テスト環境でモジュールアカウントに資金を送信してこの理論を検証し、「この時点で、ブロックはもはや生成されず、ブロックチェーンは完全に停止しました。これにより、Evmos ブロックチェーンおよびその上に構築されたすべての DApp が破壊されます。」と報告しました。彼は、Evmos チームが情報公開の前にこの脆弱性を修正したことを明らかにしました。

ChainCatcher のメッセージ、Ordinals の創設者 Casey が X プラットフォームでリマインダーを発表し、ユーザーに ord ウォレットを 0.21.2 バージョンに早急にアップグレードするよう呼びかけています。この更新は、"ord wallet send" 機能を使用する際に、正しくお釣りの出力が作成されないために、ルーンが意図せず失われる可能性がある深刻な脆弱性を修正しました。Casey は、入力 UTXO に複数のルーン（A と B）が含まれている場合、ルーン A を送信する過程でルーン B が誤って送信される可能性があると説明しています。この更新では、ウォレットアドレスのメッセージ署名機能も追加され、鋳造進捗の表示問題も修正されました。現在、この脆弱性による資産損失の報告は受けていません。

ChainCatcher のメッセージ、クロスチェーン相互運用性プロトコル LayerZero の CEO ブライアン・ペレグリーノがソーシャルメディアで Across Protocol チームに宛てて次のように述べています。「あなたたちのトークン契約には重要な問題があります。内部のプライベート関数であるべき機能が誤って公開されており、この機能は Open Zeppelin がその ERC20 トークン実装で記述したもので、トークンを破棄することを目的としています。そして、これにより契約の所有者に与えられています------これにより、あなたたちはいつでもどのウォレットからでもトークンを引き出すことができ、任意のアカウントの残高を 0 にすることができます。さらに、あなたたちの Across Protocol と UMA Protocol の契約には無限の鋳造能力がありますが、私はこの二つの問題について通知しましたが、あなたたちは気にしていないようです。この問題を解決するためにトークンを再発行する必要はありません：契約の所有権を新しいスマートコントラクトに移転し、鋳造量が総供給量を超えないようにし、破棄を許可しないようにします。これは永久的な脆弱性であるため、新しい契約は不変でなければならず、所有権を移転する機能を含めてはいけません。もし活発な脆弱性報奨プログラムがあるなら、この情報を LayerZero チームに帰属させることができます。」

ChainCatcher のメッセージ、Tapioca DAO が重大なセキュリティ脆弱性に直面し、攻撃者によって約 440 万ドルの暗号通貨が盗まれ、TAP トークンの価格が 95% 以上暴落しました。攻撃者はソーシャルエンジニアリングを通じて秘密鍵を取得し、大量の資金が移動しました。それにもかかわらず、チームはセキュリティ機関と協力し、1,000 ETH（約 270 万ドル）を安全な場所に移動させることに成功し、さらなる損失を回避しました。現在、ハッカーは依然として一部の盗まれた資産を保持しており、チームは残りの資金を取り戻すために引き続き努力しています。

ChainCatcher のメッセージによると、Cointelegraph が報じたところでは、Radiant Capital と二つのサイバーセキュリティ会社が、BNB Chain と Arbitrum 上で 5000 万ドルを超えるサイバーセキュリティの脆弱性事件が発生した後、Radiant Capital はその貸出市場を一時停止したとのことです。Web3 サイバーセキュリティ会社 De.Fi Antivirus は X プラットフォームで次のように述べています："BSC と ARB チェーン上の 'transferFrom' 機能を利用して、攻撃者は Radiant Capital の契約を攻撃し、ユーザーの資金を盗みました。これには USDC、WBNB、ETH などが含まれます。この攻撃により約 5800 万ドルの資金が盗まれました。"これは、別のサイバーセキュリティ会社 Ancilia Inc. の推定結果に近く、Ancilia は損失を約 5000 万ドルと見積もっています。Radiant はマルチシグウォレットによって管理されており、攻撃者は複数の署名者の秘密鍵を制御し、その後複数のスマートコントラクトを制御しました。Radiant は X プラットフォームの投稿で次のように述べています："私たちは BNB Chain と Arbitrum 上の Radiant 貸出市場に問題があることを認識しています。私たちは SEAL911、Hypernative、ZeroShadow、Chainalysis と協力しており、できるだけ早く更新情報を提供します。Base とメインネット上の市場は、別途通知があるまで運営を一時停止します。"

ChainCatcher のメッセージによると、Protos が報じたところによれば、ビットコイン開発者は最近、高危険度のソフトウェア脆弱性に関する詳細を明らかにしました。この脆弱性は CVE-2024-35202 と呼ばれています。上級コア開発者によれば、世界中でビットコインのルールを実行している家庭用および商用コンピュータの 13% 以上がリモートシャットダウンの脆弱性を抱えているとのことです。この脆弱性は、Bitcoin Core 25.0 より前のバージョンを実行しているノードに影響を与え、攻撃者がブロック取引メッセージを操作することでノードをクラッシュさせることを可能にします。この脆弱性は、インターネットの帯域幅使用を減らすために短縮された取引識別子を使用する Core の密なブロックプロトコルに起因しています。攻撃者はこれらの識別子の衝突を引き起こすことで、ノードが完全なブロックを要求することを引き起こすことができます。完全で未編集のブロックを要求することは安全対策ですが、25.0 より前のソフトウェアバージョンには、後続の blocktxn メッセージを処理するロジックに欠陥があります。簡単に言えば、ロジックゲートを操作することでノードを無効な状態に強制的にすることができ、完全にクラッシュさせることができます。一般的な攻撃者には経済的利益はありませんが、開発者はノード運営者に最新バージョンへの更新を強く推奨しています。この脆弱性を発見し、公開したのは Niklas Gögge の功績であり、Bitcoin Core 25.0 ではこの問題が解決されています。

ChainCatcher のメッセージによると、フィデリティは最近、メイン州の司法長官に文書を提出し、77,099 人の顧客がデータ漏洩の影響を受けたと述べており、これはその 5,150 万人の顧客基盤の一部に過ぎません。同社は、8 月 17 日から 19 日の間に、攻撃者が最近設立した 2 つの顧客アカウントを利用して顧客の名前やその他の個人識別情報を取得したと述べています。8 月 19 日、フィデリティがこの脆弱性を初めて発見した際に、無許可のアクセスは終了しました。同社は、「外部のセキュリティ専門家」の支援を受けてこの問題を解決したと述べています。フィデリティは、第三者がフィデリティのアカウントにアクセスしたことはないと強調しています。フィデリティは、影響を受けたユーザーに対して、個人の財務状況に影響を与える可能性のある異常な活動を発見するために、2 年間の無料クレジット監視および身分回復サービスを提供すると述べています。

ChainCatcher のメッセージによると、EigenLayer の公式情報では、未承認の 570 万ドルのトークン販売事件はハッキングによるものであり、この事件は孤立したもので、エコシステムには影響しないとされています。チームは、今回の漏洩はどのオンチェーン機能とも関係がないと述べています。さらに、EigenLayer は、プロトコルやトークン契約に既知の脆弱性は存在しないとも述べています。EigenLayer はコミュニティの更新の中で、引き続き調査を行い、さらなる情報が得られ次第更新を発表するとしています。

ChainCatcher のメッセージによると、Bedrock の公式情報が発表され、uniBTC のセキュリティ脆弱性に関する分析レポートが公開されました。主な内容は以下の通りです：コントラクトの脆弱性が確認され、解決されました；すべての資産は安全です；エアドロップ計画：すべての uniBTC 保有者は 100 ダイヤモンドのエアドロップを申請できます。今後の TGE コミュニティエアドロップは 0.5% 増加します；コントラクトの開始時間は公式の通知を待つ必要があります。

ChainCatcher のメッセージ、多チェーン流動性再ステーキングプロトコル Bedrock が X で uniBTC のセキュリティ脆弱性事件に対する対応を発表し、脆弱性の問題は解決されており、ユーザーが保有するすべての uniBTC 資産は安全であると述べました。具体的な対応は以下の通りです：Bedrock はすべてのユーザーに対し、ホスティングウォレット内の BTC と準備金内の BTC は安全であると保証します；今回の脆弱性の総影響は約 200 万ドル（大部分は DEX LP）と推定されています；脆弱性の真の原因が特定され、解決策が講じられています；包括的な補償計画が最終調整中であり、すぐに事後報告と共に共有される予定です；Bedrock は DEX、安全監査チーム、およびパートナーと密接に協力し、失われた資金を回収しています；準備金の証明が得られ次第、透明性を確保するために即座に共有されます。以前のニュースでは、多チェーン流動性再ステーキングプロトコル Bedrock がその Telegram で発表し、チームが uniBTC に関するセキュリティ脆弱性を認識したことを伝えました。これに応じて、チームはユーザーとその資産を保護するために契約を一時停止しました。チームは、ホスティングウォレット内の BTC は安全であると述べています。準備金内の BTC も安全であり、盗まれた総推定損失は約 200 万ドルです。

ChainCatcher のメッセージ、最近、Bitslab のブランド MoveBit が Aptos ネットワーク内の重大なサービス拒否（DoS）脆弱性を発見し、修正を支援したことが成功しました。この脆弱性は「高危険」と評価されています。この脆弱性は、メモリプールのトランザクション追放メカニズムが不完全であるため、最大 90% の正常なトランザクションがノードによって拒否される可能性があります。Aptos チームは最新バージョンでこの脆弱性を修正し、公式リリースノートで MoveBit の貢献に感謝しています。この行動は、MoveBit のブロックチェーンセキュリティ分野における技術力を再び示し、業界のリーダーシップを強化しました。MoveBit は BitsLab の傘下で Move エコシステムに特化したセキュリティチームであり、安全基準の構築とセキュリティ監査の提供に努め、Move エコシステムの安全性を確保しています。

ChainCatcher のメッセージ、Onyx が X プラットフォームでプロトコル通貨市場の事後分析を発表し、その中で Onyx プロトコルがセキュリティ事故に遭遇したことを指摘しています。悪意のある行為者が脆弱性を利用して VUSD を引き抜き、脆弱性は NFT 清算契約に関係しています。今回の攻撃の主な問題は empty market ではなく、NFTLiquidation Contract 契約に関係しており、XCN ステーキングと XCN ファーミングには影響がありませんでした。

ChainCatcher のメッセージ、多チェーン流動性再ステーキングプロトコル Bedrock は、Telegram で発表し、チームが uniBTC に関するセキュリティの脆弱性を認識したことを明らかにしました。これに応じて、チームはユーザーとその資産を保護するために契約を一時停止しました。チームは、ホスティングウォレット内の BTC は安全であると述べています。準備金の BTC は安全であり、盗まれた総推定損失は約 200 万ドルです。さらに、チームは DEX、安全監査チーム、および私たちのパートナープロジェクトと積極的に調整して、権限を取り消す作業を進めていると述べています。取り消し不可能な権限については、該当するウォレットアドレスをブラックリストに登録します。

ChainCatcher のメッセージによると、派盾は X プラットフォームで、OnyxDAO が精度の脆弱性攻撃の最新の被害者となり、損失が 380 万ドルを超えたと発表しました。今回の攻撃は、使用している CompoundV2 のフォークコードにおける既知の精度問題に起因しています。盗まれた資産には、410 万 VUSD、735 万 XCN、5000 DAI、0.23 WBTC、および 5 万 USDT が含まれています。攻撃者はほぼ空の市場を利用して交換レートを操作し、資金を成功裏に盗みました。

ChainCatcher のメッセージによると、Arbitrum 開発者は Arbitrum One、Nova、Sepolia の ArbOS 32 アップグレードが完了したと述べています。ノードオペレーターはノードを少なくとも Arbitrum Nitro v3.2.0 バージョンにアップグレードする必要があり、バリデータノードは v3.2.1 バージョンにアップグレードする必要があります。今回のアップグレードはその安全理事会と調整して行われ、以下の問題を解決するための緊急措置が承認されました：Arbitrum Stylus における誤った価格設定の問題、これによりサービス拒否攻撃が発生する可能性がある；悪意のあるコントラクトがノードのクラッシュを引き起こす問題；Stylus コントラクトが SLOAD 操作により過剰請求される誤った価格設定の問題。資金は一切リスクにさらされていません。さらに、チームは近日中に完全な分析報告書を発表する予定です。