セキュリティ監査

ビットコイン TAP プロトコルエコシステムプロジェクト BIT (@dmt_bit_) が新しいロードマップを発表し、「ビットコインセキュリティバジェットレイヤー」のストーリーに焦点を当て、トークンのブロックごとの発行が直接ビットコインマイナーに流れるようにし、マイナーへの補助金の新しい供給源とすることを発表しました。BIT チームは、TAP プロトコルが現在 $NAT のみがマイナー補助金メカニズムを享受しており、このメカニズムがプロトコルのソースコードにハードコーディングされていることを明らかにしました（dmt-nat トークンのみに有効）他の DMT プロジェクトは使用できません。TAP プロトコルは現在まで第三者のセキュリティ監査を公開していません。BIT は TAP にコードアップグレード提案を提出し、このメカニズムをすべての DMT トークンが使用できるように開放することを希望しましたが、TAP の公式に拒否されました。ロードマップによれば、BIT は次に TAP フォークに基づいて新しいプロトコルを自主開発する予定です------任意の DMT トークンのデプロイメント側は、単一のインスクリプションを通じてトークンの発行ルールとマイナーへの配布方法（マイニングプールの重み付けによる配布、独立マイナーの賞金累積、混合配布など）をカスタマイズでき、もはやプロジェクトのハードコーディングされた特権を設定しません。新しいプロトコルのメインネットは、第三者のセキュリティ監査を完了する前に立ち上げられます。$BIT は新しいプロトコルのネイティブトークンとして機能し、プロトコルエコシステムの発展は引き続き $BIT に力を与えます。

Aave Labs は Aave V4 のセキュリティフレームワークを発表し、「セキュリティ優先」の開発モデルを提案しました。これは、アーキテクチャ設計段階でセキュリティ検証を組み込むものであり、単にローンチ前に最終監査を行うのではありません。このセキュリティプランは約1年間続き、累計で約345日間のセキュリティレビューを完了しました。資金は Aave DAO によって承認された150万ドルのセキュリティ予算から提供されています。V4 のセキュリティプロセスは、形式的検証、人工監査、不変性テスト、ファジング（fuzzing）、および公開セキュリティコンペティションなどの多層監査方法を組み合わせています。今後のプロトコル開発では、開発初期に形式的検証を導入し、多層セキュリティ監査方法を実施し、継続的な検証メカニズム、長期的なバグバウンティプログラム、AIを活用したスマートコントラクトのセキュリティスキャンなど、5つの長期的なセキュリティ対策を引き続き採用していく予定です。

公式の発表によると、Aave LabsはAave V4のセキュリティプログラムに関する完全な透明性レポートを発表しました。これには、方法、プロセス、結果などが含まれ、Trail of Bits、Blackthorn、Certoraなどの複数のセキュリティ機関が共同で支持しています。手動監査、形式的検証、不変テスト、ファジング、公開セキュリティコンペティションを通じて、約345日間のセキュリティレビューが行われました。このプログラムは、DAOによって承認された150万ドルの専用セキュリティ予算によって支えられています。Aave Labsは、Aave V4セキュリティプログラムから5つのコアコミットメントを継続することを発表しました：初期開発段階に形式的検証を組み込み、アーキテクチャ設計が検証だけでなく安全な方法の指導を受けることを確保すること；手動レビュー、形式的検証、不変テスト、AI支援チェック、ファジング、公開セキュリティコンペティションを含む層状のセキュリティアプローチを採用し、より多くの潜在的な脆弱性をカバーすること；継続的なセキュリティカバレッジを維持し、形式的検証フレームワークと不変テストスイートはプロトコルの反復に伴って継続的に実行されること；長期的な脆弱性報奨プログラムを設立し、より広範なセキュリティコミュニティを利用して継続的な監視を提供すること；およびAIスキャン能力を最適化し、既存のテスト経験に基づいて将来のバージョンのインテリジェントなセキュリティ検出レベルを継続的に向上させること。

公式の発表によると、Aave LabsはAave V4のセキュリティプログラムに関する完全な透明性レポートを公開しました。このレポートには、方法、プロセス、結果などが含まれており、Trail of Bits、Blackthorn、Certoraなどの複数のセキュリティ機関が共同で支持しています。手動監査、形式的検証、不変テスト、ファジング、公開セキュリティコンペティションを通じて、約345日間のセキュリティレビューが行われました。このプログラムは、DAOによって承認された150万ドルの専用セキュリティ予算によって支えられています。Aave Labsは、Aave V4セキュリティプログラムから5つのコアコミットメントを継続することを発表しました：初期開発段階に形式的検証を組み込み、アーキテクチャ設計が安全な方法論に基づいていることを確認する；手動レビュー、形式的検証、不変テスト、AI支援チェック、ファジング、公開セキュリティコンペティションを含む層状のセキュリティアプローチを採用し、より多くの潜在的な脆弱性をカバーする；継続的なセキュリティカバレッジを維持し、形式的検証フレームワークと不変テストスイートはプロトコルの反復に伴って継続的に実行される；長期的な脆弱性報奨金プログラムを設立し、より広範なセキュリティコミュニティを利用して継続的な監視を提供する；そして、AIスキャン能力を最適化し、既存のテスト経験に基づいて将来のバージョンのスマートセキュリティ検出レベルを向上させる。

全球をリードするフルスタックWeb3セキュリティ会社ExVulは、高性能金融ブロックチェーンPharosと長期的な戦略的パートナーシップを結び、125万ドルのセキュリティ監査グラントを共同設立し、Pharosエコシステム内の初期スタートアップチームの発展を支援します。このグラントは、Pharosインキュベーターの初期プロジェクトを対象としており、コアスマートコントラクトおよび重要なシステムモジュールの完全なセキュリティ監査サービスを提供し、資金と継続的なセキュリティアドバイザーのサポートも行います。PharosとExVulの協力は、その専門能力に対する高い信頼を十分に示しており、両者のエコシステムの長期的な構築における緊密な結びつきをも表しています。この協力を通じて、ExVulはPharosの初期プロジェクトに持続可能で安全、かつコンプライアンスのあるインフラを構築し、エコシステムの長期的な発展の基盤を固めます。

据 Cointelegraph 报道，Bitcoin Core 通过了其首次第三方安全审计，审计结果证实，保障比特币网络安全的这款软件已高度成熟，未发现任何严重漏洞。此次审计由法国安全公司 Quarkslab 开展，受开放源代码技术改进基金（OSTIF）委托，代表 Bitcoin Core 开发资助组织 Brink 实施。在 5 月至 9 月为期 104 天的审计期间，审查人员对项目中最敏感的组件进行了评估，尤其关注 P2P 层和区块验证逻辑。报告指出，尽管 Bitcoin Core 的代码库规模庞大，包含超过 20 万行 C++ 代码和 1200 多个已部署的测试用例，但审计人员评估认为其"最为成熟且经过充分测试"。团队未发现任何高严重性或中严重性漏洞，仅发现两个低严重性问题，以及一系列主要与模糊测试工具和测试覆盖率相关的改进建议。这些发现均未对共识机制、抗拒绝服务能力或交易验证产生任何影响。

ChainCatcher のメッセージ、GMGN は X プラットフォームで投稿し、最近のプラットフォームがハッキングされ、ユーザーの資金が失われたという虚偽の噂に対して、チームは直ちに全面的なセキュリティ監査を開始し、プラットフォームに安全上の問題がないことを確認し、ユーザーの資金は完全に安全であると述べました。GMGN は常にユーザーの安全を最優先に考えており、疑問がある場合は公式カスタマーサポートチャネルを通じて相談できると述べています。

ChainCatcher のメッセージ、UXLINK は UXLINK トークン契約の移行に関する最新の進展を発表しました：現在、UXLINK トークンには無許可の増発行為が存在しており、これは UXLINK ホワイトペーパーの内容に反し、コミュニティの合意を損なっています。計画されているトークン交換について、主要な CEX パートナーとコミュニケーションを取り、彼らは全力でサポートする意向を示しています。新しいスマートコントラクトが安全監査のために提出されました。この新しい契約は固定トークン供給量を設定し、追加のトークンが増発されないことを保証します。同時に、通常はクロスチェーンソリューションに使用され、コミュニティの利益を保護することを目的とした増発-焼却機能が廃止されました。また、韓国デジタル資産取引所協会 DAXA からの問い合わせに応じており、安全専門家パートナーと共同で包括的な事件報告書を作成する予定です。以前、UXLINK はマルチシグウォレットがセキュリティの脆弱性に遭遇し、資金が不正に移転されたと述べていました。

ChainCatcher のメッセージによると、The Block が報じたところでは、イーサリアム財団が Fusaka アップグレードのセキュリティ監査コンペティションを開始し、賞金は最大 200 万ドルです。この4週間の監査は Sherlock プラットフォームが主催し、Gnosis と Lido が共催しています。目的は、ローンチ前に潜在的な脆弱性を発見することです。Fusaka アップグレードには約 12 の EIP が含まれており、主にセキュリティ、スループット、効率の向上に焦点を当てています。その中で「ノードデータの可用性サンプリング」は、分散ノード間のデータチェックを行い、Rollups の容量を拡大します。コンペティションには報酬倍増メカニズムが設けられており、第一週は 2 倍、第二週は 1.5 倍です。このアップグレードは 2025 年第4四半期にメインネットにデプロイされる予定ですが、財団の執行責任者 Tomasz Stańczak は、調整が不十分な場合、スケジュールが遅れる可能性があると述べています。

ChainCatcher のメッセージによると、The Block の報道では、Arbitrum 財団がネットワーク上のブロックチェーンプロジェクトのセキュリティ監査プログラム「Arbitrum Audit Program」に対して、1400 万ドル相当の ARB トークンを補助する計画を立てているとのことです。ArbitrumDAO の提案が承認されると、このプログラムは 12 ヶ月以内に 3000 万の ARB トークンを配布する予定です。

ChainCatcher メッセージ、Cetus 公式が発表した盗難事件報告によると、5 月 22 日、Cetus は CLMM 流動性プールに対する高度なスマートコントラクト攻撃に遭遇しました。Cetus は影響を軽減するために迅速に対応策を講じました。攻撃者はオープンソースライブラリの未発見の脆弱性を利用し、プール価格を引き下げ、高価格帯でポジションを構築し、オーバーフロー検査の欠陥を利用して、わずかなトークンで過剰な流動性を注入しました。その後、何度も流動性を取り除く操作を実行してプール内の資産を引き出し、未検証の計算関数を繰り返し利用して攻撃を行い、最終的に資金を盗み出しました。全体のエコシステムの最大利益を共同で維持するために、ほとんどの Sui 検証ノードの支持を受けて、Cetus は攻撃者の 2 つの Sui ウォレットアドレスを緊急凍結しました。これらのウォレットには盗まれた資金の主要部分が含まれています。残りの盗まれた資金はハッカーによって交換され、イーサリアムメインネットにクロスチェーン転送されました。Cetus は Sui セキュリティチームおよび複数の監査機関と協力して、契約を再審査し、複数の共同監査を実施して、検証が完了した後に CLMM サービスを安全に復元することを確保します。同時に、Cetus はオンチェーン監視を強化し、追加の監査を開始し、定期的にセキュリティレポートを発表します。影響を受けた LP を補償するために、Cetus はエコシステムパートナーと復旧プランを策定し、Sui 検証者にオンチェーン投票の支持を呼びかけ、ユーザー資産の返還と信頼の再構築を加速します。法的手続きが進行する中、Cetus は攻撃者にホワイトハットとしての帰還の機会を提供しました。Cetus はまもなく最終通告を発出します。何か更新があれば、Cetus はコミュニティに透明性を持って報告し続けます。

ChainCatcher のメッセージ、Aptos の公式確認によると、Cetus DEX が遭遇した攻撃の脆弱性は Sui ネットワークに限られており、Aptos ネットワーク自体、ユーザー資金およびその DeFi パートナーは影響を受けていません。現在、Aptos のセキュリティおよびエンジニアリングチームは全面的な監査を開始しており、事件の進展を引き続き密接に追跡し、DeFi パートナーと協力してネットワークの安全性と安定性を確保しています。

ChainCatcher のメッセージによると、公式の発表として、AI駆動の取引プロトコル COPX.AI が Web3 セキュリティ監査会社 CertiK による包括的なセキュリティ監査を成功裏に完了したことを発表しました。今回の監査は、COPX.AI のコアスマートコントラクト、トークン配分、線形リリースメカニズムおよび取引マイニングロジックをカバーしており、その安全性と機能の完全性を確保しています。COPX.AI チームは、この監査がプロトコルの透明性と安全性をさらに強化したと述べており、今後もスマートコントラクトの最適化を続け、より分散化されたガバナンスの仕組みを探求していくとしています。

ChainCatcher のメッセージによると、Safe は、Safe{Wallet} チームが過去数日間、Bybit ハッキング事件に対する包括的なフォレンジック調査とセキュリティ監査を行うために Mandiant と協力していると述べています。Safe は、そのチームが透明性にコミットしていることを示しています。Mandiant の初期報告結果は来週発表される予定です。

ChainCatcher のメッセージによると、公式の発表として、L2 ネットワークプロジェクト OpenZK が Web3 セキュリティ監査会社 Hashlock による包括的なセキュリティ監査を成功裏に完了したことを発表しました。報告によると、メインネットおよびエアドロップ活動の開始が近づくにつれて、OpenZK はネットワークの安全性を確保するために、さらに多くの監査を実施する予定です。

ChainCatcher のメッセージ、Cosmos SDK に基づいて構築された L1 ブロックチェーン Initia がツイートを発表し、そのメインネットのリリースコードが正式に凍結されたことを報告しています。現在、安全監査が行われています。