ChainCatcher のメッセージによると、BitsLab 旗下の ScaleBit セキュリティチームは、2024 年 10 月に Uniswap iOS ウォレットで「助記詞未承認アクセス」と名付けられた脆弱性を発見しました。この脆弱性により、デバイスの物理的アクセス権を持つ攻撃者がウォレットの認証メカニズムを回避し、デバイスに保存されている助記詞に直接アクセスできるようになります。この脆弱性の根本的な原因は、助記詞の保存とアクセスメカニズムの設計に欠陥があることです。助記詞は有効なアプリケーション層の暗号化を受けておらず、復元ページのトリガー条件が不合理であるため、攻撃者はデバイスの物理的アクセス権を持っている場合、ウォレットの認証メカニズムを簡単に回避し、ウォレット内の助記詞を直接取得できるのです。現在、この脆弱性は Uniswap Wallet の最新バージョン (Version 1.42) にも存在しており、このウォレットを使用しているすべてのユーザーに潜在的なリスクをもたらしています。したがって、ユーザーは使用中にデバイスの物理的安全に特に注意し、解除パスワードの漏洩を避けたり、他人にデバイスを貸したりしないようにする必要があります。

ChainCatcher のメッセージによると、CertiK Alert がソーシャルプラットフォームで明らかにしたことにより、「私たちは 7 日前に展開された IPC トークンに脆弱性が存在することを発見しました。攻撃者はフラッシュローン保護メカニズムを回避し、トークンペアの燃焼トークンのデフレメカニズムを利用して、被害者のトークンペアから約 59 万ドルの資金を盗みました。」

ChainCatcher のメッセージによると、Cointelegraph が報じたところでは、ブロックチェーン企業 Virtuals Protocol のスマートコントラクトが、セキュリティ研究者 Jinu（仮名）によるレビュー中に偶然に脆弱性が発見されました。Virtuals Protocol は迅速に修正措置を発表し、脆弱性報奨プログラムを再開しました。12 月 3 日、Jinu はコントラクトのレビュー中にこの問題を偶然発見し、すぐに Virtuals Protocol に報告しましたが、その後、同社には活発な脆弱性報奨プログラムがないことを知り、彼の発見は報酬の条件を満たさないことが分かりました。Jinu によれば、Virtuals Protocol チームはこの脆弱性を報告するための Discord グループも閉鎖しました。X プラットフォームの投稿で、Jinu は「この脆弱性は Virtuals エコシステムに影響を与える可能性があり、悪用されると、コントラクトが修正されるまで AgentTokens の生成を妨げることになります。」と述べました。この情報を X プラットフォームで公開した後、Virtuals Protocol は Jinu に連絡し、すぐに修正措置を発表しました。修正措置は迅速に発表されましたが、Virtuals Protocol は Jinu に脆弱性報奨を提供することをまだ発表していません。同社は研究者へのメッセージの中で、Jinu がこの問題を報告してくれたことに感謝し、以前のコミュニケーションの不備について謝罪しました。

ChainCatcher のメッセージによると、英国の『ガーディアン』の調査で、OpenAI の ChatGPT 検索ツールに潜在的なセキュリティ問題が存在し、悪用されて内容を隠して操作される可能性があることが明らかになりました。『ガーディアン』は、隠された内容を含むウェブページを要約するように求められた際の ChatGPT の反応をテストしました。隠された内容には、特定の製品の利点について大量に言及するような第三者からの指示が含まれており、これが ChatGPT の応答を変える可能性があります。この技術は悪用される可能性があり、同じページにその製品に対する否定的なレビューがあっても、ChatGPT にポジティブな評価を返させることができます。テスト担当者は、カメラ製品ページのように見える偽の URL を ChatGPT に与え、そのカメラを購入する価値があるかどうかを尋ねました。ChatGPT はポジティブでありながらバランスの取れた評価を提供し、同時に人々が好まないかもしれない機能を強調しました。しかし、隠されたテキストに ChatGPT に好意的なレビューを返すよう指示する内容が含まれている場合、その応答は常に完全にポジティブであり、ページ上に否定的なレビューがあっても変わりませんでした。CyberCX のサイバーセキュリティ研究者である Jacob Larsen は、ChatGPT 検索が現在の状態で誰にでも開放されると、高リスクの人物がユーザーを欺くための特別なウェブサイトを作成する可能性があると述べています。(金十)

ChainCatcher のメッセージによると、News.bitcoin が報じたところによれば、Dogecoin は最近、ノード構造に深刻な影響を与える脆弱性攻撃を受けました。この脆弱性は「Dogereaper」と呼ばれ、Sequentia の開発者 Andreas Kohl は、サルバドルからの古いノートパソコンを使用して、69% の Dogecoin ノードをクラッシュさせたとのことです。この攻撃は Dogecoin ノードに深刻な影響を与えましたが、状況はさらに悪化する可能性がありました：ecash の開発者 Tobias Ruck ともう一人の開発者 Roqqit がこの脆弱性を公開しました。Tobias Ruck は、Doged（Dogecoin Core の代替品）を開発している際にこの脆弱性を初めて発見し、代替ソフトウェアの移植コードテスト中に元のコードに修正されていないセグメンテーションフォルト（segmentation fault）を発見しました。Tobias Ruck は次のように説明しています。「私たちはノードのクラッシュを容認しません。私たちはネットワークの安全性を確保するために多くの努力を払ってきました。この攻撃はさらに深刻なものになる可能性があり、すべての重要な利害関係者、例えばマイナーや取引所などは、攻撃が発生する前にすでに修正を行っていました。これは私たちが慎重に行動することがどれほど重要であるかを示しています。」

ChainCatcher のメッセージ、Base チェーン AI エージェントの所有権レイヤープロトコル Virtuals Protocol の発表によると、「特定の第三者のロックされた事前バインド代理トークンを使用する開発者が、ロックなしでバインド後にトークンにアクセスできる極端な状況が確認されました。すべての資金は安全であることに注意してください。コミュニティメンバーからのフィードバックに感謝し、10,000ドルの報酬を提供しました。」「私たちは、永続的な機能を開発中であり、その間に、バインド前にトークンをロックしたいビルダーは、トークンを保管庫に送信することでトークンのロックを実現できるようにします（バインド後6ヶ月の標準ロック）。」

ChainCatcher のメッセージによると、Cointelegraph が報じたところでは、ビットコインサイドチェーン Sequentia の共同創設者 Andreas Kohl は、サルバドルの古いノートパソコンを使用して、69% の Dogecoin ネットワークノードを破壊したと主張しています。Blockchair のデータによると、脆弱性が悪用される前に、Dogecoin には 647 のアクティブノードがありました。現在、Dogecoin には 315 のアクティブノードしかありません。12 月 4 日、"Department Of DOGE Efficiency "という名前の X アカウントが Dogecoin ネットワーク上の脆弱性を公開しました。彼らはこの脆弱性が Dogecoin チェーンの完全な崩壊を引き起こす可能性があると考えています。このアカウントによると、"DogeReaper "脆弱性は、誰でもリモートで任意の Dogecoin ノードを破壊できることを許可します。DogeReaper を使用すると、誰でもノードのアドレスを書き込むことができ、ノードがセグメンテーションフォルトによって死ぬ原因となります。計算中に、プログラムがメモリ内の許可されていない部分にアクセスしようとすると、セグメンテーションフォルトが発生します。このような場合、オペレーティングシステムは安全上の理由からプログラムを停止し、プログラムがクラッシュします。

ChainCatcher のメッセージによると、Haven Protocol は「範囲証明検証」に脆弱性があり、攻撃を受けました。この脆弱性により、ハッカーは気づかれずに不正に XHV を鋳造することが可能です。取引所が報告した XHV の数量は 5 億枚を超えていますが、監査データによると現在の供給量は 2.63 億枚のみで、超過分はすべて脆弱性を通じて生成された可能性があります。現在、チームは問題が Haven 3.2 の Monero に基づく再構築後に導入された「範囲証明検証」機能に脆弱性があることを確認しており、チームは取引所にすべての取引ペアの取引を停止するよう提案しています。

ChainCatcher のメッセージ、SlowMist の余弦が X プラットフォームで投稿し、ある有名なボットプラットフォームがホワイトハットによって関連する脆弱性が発見されたと述べています。これにより、秘密鍵が漏洩する可能性があります。ホワイトハットはフィードバックを行いましたが、脆弱性報酬の問題でいくつかの論争が生じたようです。ホワイトハットは、このボットプラットフォームが将来的に DEXX のようにハッキングされるリスクがあることを懸念しており、その際に当時残した痕跡が調査されることを心配しています。そのため、彼は自身の無実を証明するために情報を求めています。余弦は、中立性を保つために特に明記しています：ここで言う「ホワイトハット」という言葉は必ずしもホワイトハットを指すわけではなく、誰が正しいか、誰が多いか少ないかを検証することはできません。将来的にこのボットプラットフォームがハッキングされた場合、ホワイトハットが共有した情報が検証に役立つ可能性があります。

ChainCatcher のメッセージ、機械知能ネットワーク Spectral は事後報告を発表し、その Syntax プラットフォームが 12 月 1 日にセキュリティ脆弱性攻撃を受けたことを明らかにしました。Spectral は Bonding Curve コントラクト内の脆弱性を特定し修正したと述べ、今後同様の攻撃が再発しないようにしています。現在、Zellic に更新されたコントラクトの監査を委託しており、攻撃前の状態に Bonding Curve を復元するために SPEC トークンを追加する予定です。プロジェクトチームは、監査が完了次第プラットフォームの運営を再開すると述べています。

ChainCatcher のメッセージによると、分散型取引所（DEX）Clipper は、その出金機能に脆弱性が存在し、最近そのプロトコルがハッカーによって攻撃され、損失額が 45 万ドルに達したと明らかにしました。これは「第三者」が言うような秘密鍵の漏洩ではありません。Clipper は次のように述べています：「攻撃者は 12 月 1 日に 2 つの流動性プールを利用し、総価値の約 6% をロックしました。第三者が秘密鍵の漏洩問題があると主張していますが、私たちは事実がそうではないことを確認でき、Clipper の設計およびセキュリティアーキテクチャと一致しません。トークン形式（バンドル交換 + 入金/出金取引）での出金機能は無効化されています。」以前、セキュリティ会社 Fuzzland の共同創設者が X で投稿し、Clipper が「API の脆弱性（秘密鍵の漏洩など）によりハッカーに攻撃された」と述べ、さらにその API に脆弱性が存在し、攻撃者が入金および出金リクエストに署名し、彼らが預けた以上の資金を盗むことができる可能性があると補足しました。

ChainCatcher のメッセージ、Spectral の公式が X プラットフォームで発表したところによると、リリースされた Syntax プラットフォームの一部トークンに取引中のセキュリティ脆弱性が存在し、この脆弱性により約 20 万ドルの流動性が削除される可能性があります。この問題に対処するために、Spectral チームはプラットフォームとユーザーの安全を確保するために迅速に措置を講じました。具体的には：Syntax アプリのアクセス権を一時的に無効化；さらなるプログラムの相互作用を防ぐために、すべてのスマートコントラクトを一時停止。現在、Spectral チームは業界のトップセキュリティ専門家と協力して問題の根本原因を特定し、修正計画を策定して、プラットフォームの正常な運営をできるだけ早く回復させるために取り組んでいます。Syntax チームは、これらの措置がコミュニティの利益を守る最も効果的な方法であると述べており、詳細なフォローアップの更新を迅速に提供することを約束しています。

ChainCatcher のメッセージ、SlowMist の創設者である余弦が X プラットフォームで暗号業界に対する XSS 攻撃について明らかにしました。攻撃者は暗号メディア Cointelegraph のウェブサイトの XSS 脆弱性を利用し、ターゲットユーザーを Cointelegraph の公式リンク（XSS 悪意のあるスクリプトを含む）を開かせるように仕向けました。すると：悪意のあるスクリプトが読み込まれ実行される；アドレスバーが疑わしいアドレスに設定される（見た目は公式に未公開の草稿のように見える）；次に、Sign in with X の偽のポップアップが表示される；Sign in with X をクリックすると、X のサードパーティアプリの認可が開き、権限リストには大きな空白が残されている。この時、注意を払わずに認可をクリックすると、あなたの X に関する権限が攻撃者に奪われてしまいます。このような少しの脆弱性を利用したフィッシングは一般の人々にとって非常に防ぎにくく、注意が必要です。

ChainCatcher のメッセージによると、Dilation Effect は Venus の貸出プロトコルのコアプールシリーズ契約に精度損失の脆弱性が存在することを発見しました。このプロトコルが新しい担保資産を追加する際、攻撃者がその隙を突いて全ての資金を引き出すことが非常に容易になります。具体的には、コアプールの VToken 契約は、redeemUnderlying 関数内で redeemTokens を計算する際に除算の精度損失の問題があります。プロトコルがチェーン上で新しい担保資産を追加する場合、LTV が 0 より大きく、新しい資産プールが空のプール (totalSupply=0) であり、新しい資産がミント可能な場合、ハッカーによって攻撃される可能性があります。これにより、すべてのコアプール内の資金がリスクにさらされます。Dilation Effect は、Venus がこの脆弱性を全面的に修正することを提案しています（関与するすべてのチェーンとすべてのプールをカバー）。取るべき方法としては、redeemTokens を計算する際に除算結果を切り上げる（推奨）、Uniswap の initial_deposit_amount の設計を模倣する、または redeemUnderlying インターフェースを直接削除するなどがあります。

ChainCatcher メッセージ、イーサリアム共同創設者 Vitalik Buterin が Bountycaster にて「サブリニアステーキング契約（Sublinear Staking Contract）の脆弱性バウンティ」を発表しました。賞金総額は 2 ETH で、契約内のいかなるエラー / 脆弱性を特定し、具体的な修正提案を行うことを目的としています。複数の問題が発見された場合、賞金は深刻度に応じて配分されます。具体的な要件は、発表されたサブリニアステーキング契約において、ユーザーがホワイトリストに登録されている場合（ERC1155 コレクションとして指定）、N 個のコインをステーキングでき、各スロットで N ** 0.75 個のコインのリターンを得ることができます。契約が支払いに必要なトークンを持っている限り、これが可能です。資金が尽きた場合でも、fundedUntil メカニズムにより、各ステーキング者は fundedUntil タイムスタンプ以前の各期間に報酬を受け取ることが保証されており、このメカニズムは部分準備金にはなりません。

ChainCatcher のメッセージによると、The Block が報じたところでは、Forta は a16z crypto、Coinbase Ventures およびその他の投資家に支援された Web3 セキュリティ会社であり、新しい製品であるファイアウォールを発表しました。これは、スマートコントラクトの脆弱性を検出し防止するのに役立ちます。このファイアウォールは、FORTRESS と呼ばれる機械学習および人工知能モデルを採用しており、取引ログをチェックすることで高リスク取引を分析および検出します。Forta ファイアウォールのビジネスモデルは、毎月固定料金を請求することですが、Beal は具体的な金額を明らかにすることを拒否しました。初期の顧客には Euler、Plume、Balmy が含まれています。

ChainCatcher のメッセージによると、Cyvers Alerts システムの監視により、polterfinance が Fantom チェーン上での攻撃事件を報告しました。700 万ドル以上の暗号資産が盗まれ、攻撃者は最初に Ethereum で Tornado Cash を通じて資金を取得し、その後資金が Fantom にブリッジされました。チームは直ちに行動を起こしました：プラットフォームを一時停止し、脆弱性を制御します。ブリッジは通知を受け、関与するウォレットは Binance に追跡されました。脆弱性について積極的に調査を行っています。

ChainCatcher のメッセージ、Web3 脆弱性報酬プラットフォーム Immunefi は、ホワイトハットセキュリティ会社 Trust Security に対して 90 日間の停止を実施しました。この決定は、後者が Immunefi に対して脆弱性報酬の支払いを不当に拒否したと非難した後に下されました。なぜなら、後者は資金が盗まれる可能性のある重要な脆弱性を発見したからです。11 月 12 日、Trust Security は X 上で、その報酬チームが未命名プロジェクトのフォークされたメインネット上で重要な資金盗難の脆弱性を発見したことを明らかにしました。この脆弱性の概念実証は Immunefi と共有され、Immunefi はホワイトハットとプロジェクトの間の仲介者として機能し、信頼できる脆弱性の特定に対して報酬が支払われることを保証します。しかし、Immunefi は Trust Security が範囲を超えた脆弱性を検出したと述べました。Trust は、Immunefi がそのプロジェクトの「無意味な主張」の側に誤って立ち、重要な脆弱性を特定するための全額報酬を提供することなく「わずかな善意の報酬」しか提供しなかったと主張しています。Immunefi は、報酬が不公平であるという Trust の主張を反論し、「現在の問題についての誤った説明」を理由に 90 日間の停止命令を発しました。Immunefi は、Trust が再度違反を犯した場合、永久的な禁止を実施すると述べています。

ChainCatcher のメッセージ、アイデンティティおよびアクセス管理ソフトウェアプロバイダーの Okta が公式に発表したところによると、2024 年 10 月 30 日に内部で AD/LDAP DelAuth のキャッシュキー生成時に存在する脆弱性が発見されました。Bcrypt アルゴリズムがキャッシュキーの生成に使用されており、ここで userId + ユーザー名 + パスワードの組み合わせ文字列をハッシュ処理しています。特定の条件下では、ユーザーは以前に成功した認証の保存されたキャッシュキーをユーザー名に提供することで認証を行うことが可能です。この脆弱性の前提は、ユーザーのキャッシュキーを生成するたびに、ユーザー名が 52 文字以上でなければならないことです。影響を受ける製品とバージョンは、2024 年 7 月 23 日までの Okta AD/LDAP DelAuth であり、この脆弱性は 2024 年 10 月 30 日に Okta の本番環境で修正されました。