コード

ヴィタリック・ブテリンは、ブロックチェーンのセキュリティ分野における形式的検証（Formal Verification）の応用の展望について考察を発表しました。記事では、イーサリアムの最前線の研究開発において、新しいパラダイムが登場しており、EVMバイトコード、アセンブリ、またはLeanを直接使用してコードを記述し、Lean内で自動的に検証可能な数学的証明を用いてその正確性を検証することが指摘されています。研究者のヨイチ・ヒライは、このパラダイムを「ソフトウェア開発の最終形態」と呼んでいます。ヴィタリックは、AI支援の形式的検証がコードの効率と安全性を同時に向上させる可能性があり、特にSTARK、ZK-EVM、耐量子署名、コンセンサスアルゴリズムなどの安全なコアモジュールに適していると考えています。記事はまた、形式的検証が万能ではなく、証明範囲の不完全さ、仕様の誤り、ハードウェアのサイドチャネルなどの問題により失敗する可能性があることを強調しています。将来的には、ソフトウェアが「安全コア」と「非安全エッジ」に分化する可能性があり、イーサリアムは重要な安全コアの一つになるでしょう。

オープンソースデータ可視化ツールGrafanaはXプラットフォームで発表し、最近、無許可の攻撃者がGrafana Labs GitHub環境にアクセスできるトークンを取得し、それを利用してコードリポジトリをダウンロードしたことを発見したと述べています。調査の結果、この事件は顧客データや個人情報の漏洩には関与しておらず、顧客システムやビジネス運営に影響があったことも確認されていません。事件発生後、直ちに証拠分析が開始され、認証情報の漏洩源を特定したと考えられています。また、環境の防護を強化するために追加のセキュリティ対策が講じられました。さらに、Grafanaは攻撃者がコードリポジトリの公開を阻止するために身代金を要求しようとしたことを明らかにしましたが、会社は最終的に身代金の支払いを拒否し、調査が終了した後にさらなる事件の振り返り情報を公開することを決定しました。

Decrypt の報道によると、マイクロソフトの脅威インテリジェンス部門は、攻撃者が PyPI プラットフォームを通じて配布される Mistral AI ソフトウェアパッケージに悪意のあるコードを埋め込んだことを明らかにしました。この悪意のあるコードは、開発者が Linux システムで使用する際に自動的に実行され、transformers.pyz という名前の悪意のあるファイルをダウンロードし、バックグラウンドで実行します。このファイル名は、広く使用されている Hugging Face Transformers ライブラリを模倣して視覚的に混乱させるように意図されています。マイクロソフトは、この悪意のあるソフトウェアが主に開発者のログイン資格情報とアクセストークンを盗むことを指摘し、ロシア語システムを回避することがあり、一部のコードはイスラエルまたはイランにあるデバイスのファイルをランダムに削除する可能性があると述べています。この攻撃は、9 月に開始された "Shai-Hulud" サプライチェーン攻撃活動に関連しています。Mistral は、調査の結果、攻撃が侵害された開発者のデバイスから発生したことを示しており、同社のインフラは侵害されていないと応じています。

Protos の報道によると、Bitcoin Core 開発者は最近、CVE-2024-52911 という番号の高危険度の脆弱性を公開しました。この脆弱性は、0.14.1 から 28.4 バージョンに影響を与え、マイナーが特別なブロックを掘ることで、他のユーザーのノードをリモートでクラッシュさせ、コードを実行することを可能にします。この脆弱性は、開発者の Cory Fields によって 2024 年 11 月に発見され、責任を持って公開されました。修正案は同年 12 月にマージされ、2025 年 4 月に v29 バージョンと共にリリースされました。最後の脆弱性のある 28.x バージョンシリーズは、2026 年 4 月 19 日にメンテナンスが終了しました。しかし、ビットコインのフルノードのアップグレードは任意の行動であるため、現在でも約 43% のノードが脆弱性のある古いバージョンのソフトウェアを実行しており、潜在的なリスクにさらされています。幸いなことに、この攻撃の実施コストは非常に高いため、マイナーはブロック報酬を得られない無効なブロックを掘るために大量の計算能力を投入する必要があり、実際には利用されていない可能性が高いです。

Techiexpertの報道によると、Telegramはコード不要のAIロボット構築ツールを発表しました。ユーザーはLobsterFatherロボットと対話してキー（トークン）を取得し、それをTelewer、GPTBots、Lazy AIなどのプラットフォームに接続することで、オプションを選択するだけでロボットの対話スタイルや機能を設定できます。GPT、Llamaなどの異なるAIモデルをサポートしています。ユーザーはMaster Botを作成して、子ロボットにタスクを管理・割り当てることもできます。これは複数のチャットグループや顧客相談のシーンに適しています。この機能はTelegram Businessと統合されており、ロボットはアシスタントとして自動的にメッセージに返信したり、コミュニティを整理したりできます。ユーザーはロボットに24時間新しいメンバーを歓迎させたり、スパム情報をフィルタリングしたり、よくある質問に答えさせたりすることができます。ただし、第三者のデータセキュリティリスクには注意が必要です。

彭博のETFアナリスト、James SeyffartがXプラットフォームで明らかにしたところによると、21Shares USはそのHyperliquid ETFの申請書を更新しました。ETFコードはTHYPです。書類には管理費に関する情報はまだ公開されていません。この申請の更新は、アメリカ証券取引委員会（SEC）の意見やフィードバックに基づいて行われた可能性があります。

ブルームバーグのETFアナリスト、エリック・バルチュナスがツイートで、Bitwiseが再びHyperliquid ETFの申請書類を更新し、取引コードをBHYPに設定したことを明らかにしました。管理費は67ベーシスポイント（0.67%）です。これは通常、正式に発売されるのが近いことを意味します。

ブルームバーグの上級ETFアナリスト、エリック・バルチュナスは、マスクがSPCXをSpaceXのIPOの株式コードとして使用する可能性が高いと述べました。このコードは以前マット・タトルが保有していましたが、関連するETFはコードを変更しました。エリック・バルチュナスは、ブルームバーグのETFチームが昨年12月の報告でこの状況を予測していたことを指摘しました。また、今回のSpaceXのIPOの株式コード「SPCX」の発見は、ラウンドヒル・インベストメンツの共同創設者ウィル・ハーシーによって提起されました。彼はMETAコードをマーク・ザッカーバーグに「譲った」と述べ、これを「業界内の暗黙の了解」と呼びました。

GoPlus Security が発表したセキュリティ警告によると、Silverfort のセキュリティ研究者は OpenClaw のスキルリポジトリ ClawHub に深刻な脆弱性を発見しました。攻撃者は内部関数 downloads:increment を呼び出すことで、すべての防御機構を回避し、単一の curl リクエストで数分以内にダウンロード数を 2 万回以上に増やすことができ、悪意のあるコードを含むスキルを検索ランキングの第一位に押し上げ、ユーザーや AI エージェントに自動的にインストールさせることができます。悪意のあるスキルが実行されると、暗号財布や API キーなどの敏感なデータを盗むことができます。現在、この脆弱性は 24 時間以内に修正されました。GoPlus はユーザーに対し、高いダウンロード数が安全を意味するわけではないと警告し、AgentGuard を使用して安全スキャンと防御を行うことを推奨しています。

慢雾の監視によると、Apifox デスクトップクライアントはサプライチェーン攻撃に遭い、その公式 CDN がホスティングするフロントエンドスクリプトファイルに高度に難読化された悪意のある JavaScript コードが注入されました。影響を受けたユーザーは、認証情報の盗難、機密データの漏洩、リモートコマンドの実行などのリスクに直面する可能性があり、悪意のあるコードは自動的に実行され、高度に隠蔽されています。慢雾はユーザーに対し、すべてのトークンを直ちに取り消し、パスワードをリセットし、ログアウトして再ログインしてセッションを無効にし、*.apifox.it.com ドメインをブロックし、ローカルストレージをクリアし、API ログと異常な活動を確認することを推奨しています。

Backpack 公式はソーシャルメディアでそのトークンコード「BP」を発表し、契約アドレスを公開しました。

a16z のパートナー Andrew Chen は、AI コード生成が電子スプレッドシートを根本的に置き換えると指摘しました------電子スプレッドシートは本質的に「グリッドに閉じ込められたビジネスロジック」であり、バージョン管理、テスト、モジュール化が欠けています。AI コード生成は「電子スプレッドシート」から「ソフトウェア」への限界コストをほぼゼロに圧縮し、世界中の約 10 億の電子スプレッドシートユーザーが真のソフトウェアアプリケーションに移行することが期待されています。

Claude は新機能 Claude Code Code Review を発表しました。Pull Request（PR）が作成されると、Claude は一組の AI エージェントを派遣し、潜在的なコードの脆弱性を同時に検索します。エージェントは脆弱性を並行して探し、各脆弱性を検証して誤検知を減らし、脆弱性を重大度に応じて優先順位を付けます。最終的に、ユーザーは要約コメントとコード内のインラインマークアップのヒントを受け取ります。

据加密 KOL AB Kuai.Dong 披露的 X Money 开户流程显示，目前仅需输入姓名、社会安全号（类似身份证件号码）、居住地址即可开通成功，安全验证则依靠苹果面部识别或 PIN 码来完成，全程不到 1 分钟即可完成。据悉，X Money 功能除了虚拟借记卡以外，也会有实体储蓄卡，可通过 ATM 机进行取现、日常刷卡消费，单笔银行转入限额为 100 万美元，取款限额为 10 万美元。

Curve Finance が PancakeSwap に対して、Stableswap コードを無断で使用し、ユーザーの資金安全を確保するためのセキュリティプラクティスを模倣したと非難したことに対し、PancakeSwap は声明を発表し、この件について Curve Finance チームと直接連絡を取ることを表明しました。

Curve Finance は X プラットフォームで、PancakeSwap が Curve のコードを無断で使用しているようであり、オープンソースライセンス契約に違反していると発表しました。Curve Finance は、このような行為は違法であるだけでなく、歴史的にも他の面で通常は賢明ではないことを証明していると述べています。Curve Finance はまた、PancakeSwap が合法的にその Stableswap 機能を使用し、ユーザーの資金の安全を確保するためにその安全な実践を参考にしたい場合は、ライセンスまたは協力の方法で連絡を取ることができると指摘しました。