安全

ヴィタリック・ブテリンは、ブロックチェーンのセキュリティ分野における形式的検証（Formal Verification）の応用の展望について考察を発表しました。記事では、イーサリアムの最前線の研究開発において、新しいパラダイムが登場しており、EVMバイトコード、アセンブリ、またはLeanを直接使用してコードを記述し、Lean内で自動的に検証可能な数学的証明を用いてその正確性を検証することが指摘されています。研究者のヨイチ・ヒライは、このパラダイムを「ソフトウェア開発の最終形態」と呼んでいます。ヴィタリックは、AI支援の形式的検証がコードの効率と安全性を同時に向上させる可能性があり、特にSTARK、ZK-EVM、耐量子署名、コンセンサスアルゴリズムなどの安全なコアモジュールに適していると考えています。記事はまた、形式的検証が万能ではなく、証明範囲の不完全さ、仕様の誤り、ハードウェアのサイドチャネルなどの問題により失敗する可能性があることを強調しています。将来的には、ソフトウェアが「安全コア」と「非安全エッジ」に分化する可能性があり、イーサリアムは重要な安全コアの一つになるでしょう。

オープンソースデータ可視化ツールGrafanaはXプラットフォームで発表し、最近、無許可の攻撃者がGrafana Labs GitHub環境にアクセスできるトークンを取得し、それを利用してコードリポジトリをダウンロードしたことを発見したと述べています。調査の結果、この事件は顧客データや個人情報の漏洩には関与しておらず、顧客システムやビジネス運営に影響があったことも確認されていません。事件発生後、直ちに証拠分析が開始され、認証情報の漏洩源を特定したと考えられています。また、環境の防護を強化するために追加のセキュリティ対策が講じられました。さらに、Grafanaは攻撃者がコードリポジトリの公開を阻止するために身代金を要求しようとしたことを明らかにしましたが、会社は最終的に身代金の支払いを拒否し、調査が終了した後にさらなる事件の振り返り情報を公開することを決定しました。

GoPlus Security チームは、その AgentGuard AI プロジェクトにおいて新たな攻撃手法を明らかにしました： "歴史的記憶注入（memory poisoning）" を通じて AI エージェントに明示的に許可されていない敏感な操作を実行させる方法です。この攻撃手法は、従来の脆弱性や悪意のあるコードに依存せず、AI エージェントの長期記憶メカニズムを利用します。例えば、攻撃者はまずエージェントに "好みを記憶させる" ように誘導し、"通常は積極的に返金を優先する" などの指示を与え、その後の指示で "慣例に従って処理する" "以前の方法で実行する" などの曖昧な表現を使用することで、自動化された資金操作を引き起こします。GoPlus は、この種のリスクの鍵は AI エージェントが "歴史的好み" を誤って許可の根拠と見なすことにあると指摘しており、その結果、返金、送金、設定変更などの操作において資金の損失やセキュリティ事件が発生する可能性があります。この問題に対処するために、チームはいくつかの防護提案を行っています：返金、送金、削除または敏感な設定に関する操作は、現在のセッションで明示的な確認を行う必要があります"習慣" "通常の方法" "従来通り" などの記憶に関する指示は、高リスクの状態変化と見なされるべきです長期記憶には追跡可能なメカニズム（書き込み者、時間、確認の有無）が必要です曖昧な指示は自動的にリスクレベルを引き上げ、二次確認をトリガーするべきです長期記憶はリアルタイムの承認プロセスの代わりにはなりませんこのチームは、"AI エージェントの記憶システム" を潜在的な攻撃面と見なし、専用のセキュリティフレームワークを通じて制約と監査を行うべきだと強調しています。

イーサリアム財団が主導する作業グループが新しい「クリアサイニング」オープンスタンダードを発表しました。これは長年の「ブラインドサイン」問題を解決することを目的としており、新しいスタンダードはERC-7730規格に基づいて構築されています。「WYSIWYS（What You See Is What You Sign）」の理念を推進し、ユーザーが取引を署名する前に、統一された、読みやすく、構造化された方法で取引の実際の実行内容を理解できるようにすることを目指しています。これにより、現在一般的に存在する機械可読だが理解しにくい低レベルの取引情報表示方法に代わるものとなります。統一された記述形式、レジストリシステム、および独立した検証と監査メカニズムを通じて、取引の意図を明確に表現し、ウォレット側で標準化された形で表示できるようにします。クリアサイニングはオンチェーン取引構造を変更することはありませんが、オフチェーンの標準化された記述を通じて可説明性を強化し、既存のプロトコルの互換性に影響を与えることなく安全性を向上させます。

FluidはResolvのイベントの振り返りを発表し、3月22日にResolvが署名基盤の侵害を受け、約8000万ドルの無担保USRが悪意で増発されたことを報告しました。Fluidは約1億ドルのリスクエクスポージャーにより約2100万ドルの不良債権が形成されました。最終的な解決策は、Resolvが約970万ドルを負担し、Fluidのガバナンス金庫が820万ドルを負担し、チームが150万ドルを負担し、プロトコル内の残りのUSRはResolvによって契約レベルで焼却されました。Fluidは、そのスマートコントラクトは攻撃されておらず、すべてのユーザー資金が安全であり、プロトコルは完全な支払能力を維持していると述べました。さらに、Fluidはオラクルと価格リスク管理システムをアップグレードし、買い戻しを一時停止し、FLUIDインセンティブを大幅に削減または廃止する予定です。

公式の情報によると、Consensysはアメリカ証券取引委員会（SEC）にコメントレターを提出し、SECの最新の暗号資産に関する説明的枠組みが規制の空白を残し、MetaMaskなどの自己保管ウォレットプロバイダーがコンプライアンスの不確実性に直面する可能性があると述べています。Consensysは、SECに対して、自己保管型でユーザー主導のインターフェースが、投資契約が付随する可能性のある非証券暗号資産の取引のみをサポートする場合、ブローカーとして登録する必要がないことを明確にするために、特定のセーフハーバーまたはその他の免除措置を求めています。Consensysは、この措置がアメリカのユーザーがオープンで中立的なピアツーピアのブロックチェーンツールを引き続き使用できるようにすることを目的としていると述べています。

バイナンスは最新のセキュリティレポートを発表し、現在のAI詐欺が急速に蔓延している業界の現状に対処するために、プラットフォームは24以上のAIセキュリティプランを展開し、100以上のAIモデルを搭載してインテリジェントな防御システムを構築し、さまざまな暗号詐欺行為に対抗しています。統計データによると、2025年初頭から2026年第1四半期までに、バイナンスは540万人以上のユーザーを保護し、105.3億ドルの潜在的な資金損失を阻止しました。2026年第1四半期には、プラットフォームは2290万件の詐欺およびフィッシング攻撃を成功裏に阻止し、ユーザーの資金を19.8億ドル保護し、日平均9600件以上のリアルタイムリスク警告を発信し、3.6万件の悪意のあるオンチェーンアドレスをブラックリストに登録しました。レポートは、深層偽造、音声クローン、フィッシングボットなどのAIソーシャルエンジニアリング攻撃が主流の詐欺手段となっていることを指摘し、2025年の暗号詐欺の全体規模は170億ドルに達し、前年比30%の増加となっています。リスク管理の面では、バイナンスのAIシステムは57%の詐欺検出業務を担い、クレジットカード詐欺率を業界平均の60%-70%に抑えています；AIによる偽造防止KYC審査をアップグレードし、審査効率は最大で100倍向上しました。傘下のAI取引ツールBinance Ai Proは隔離アカウント構造を採用し、取引権限のみを開放し、出金を禁止しています。プラットフォームは12%の高リスク第三者AIプラグインを阻止しました。さらに、2025年にはバイナンスが1280万ドルの詐欺資金を回収し、4.8万件の案件を処理し、法執行機関と協力して1.31億ドルの違法資産を凍結しました。

韓国金融安全院は、デジタル資産サービスに関して3つの重点業務を推進すると発表しました。これには、スマートコントラクト検証ツールの開発、スマートコントラクト検証システムの構築、デジタル資産専門人材の育成が含まれます。これにより、トークン証券やステーブルコインなどのシーンに向けて、再入攻撃、アクセス権エラー、担保検証の漏れなどの主要な脆弱性を自動的に検出できる専用のセキュリティ検証ツールを開発し、韓国の金融規制環境に応じて検出ルールを継続的に更新します。同時に、この機関は「スマートコントラクトセキュリティガイドライン」を発表し、開発、展開、運用の全プロセスをカバーし、セミナーや協力ネットワークなどを通じて金融機関のデジタル資産セキュリティ能力を向上させる予定です。

Kelpのセキュリティ事件後、Tetherの資産相互運用性プロトコルUSDT0はプロトコルのセキュリティアーキテクチャの詳細を発表しました。現在のシステムは独自のDVN（分散型検証ネットワーク）を採用しており、メッセージの拒否権を持っています。また、3つの独立した検証者が異なるコードベースに基づいて3/3の合意に達する必要があり、その後にクロスチェーンメッセージの決済が完了します。現在の検証ノードにはUSDT0の独自DVN、LayerZero、Canaryが含まれており、将来的には4/4および5/5の検証メカニズムに拡張する計画です。USDT0は、すべてのマルチシグ取引は署名前に内部チーム、外部セキュリティチーム、および監査機関による複数の審査を受ける必要があると述べており、関連する契約はGuardianやOpenZeppelinなどの機関による監査を受け、Immunefiで600万ドルのバグバウンティプログラムが開始されています。

Wasabi Protocolはセキュリティ事件の更新を発表し、攻撃者がAWSインフラストラクチャ内のSpring Boot Actuatorの設定の脆弱性を利用して、EVMスマートコントラクトを制御するための秘密鍵を盗み、関連するコントラクトから約480万ドルのユーザー資金と90万ドルのプロトコル金庫資金を盗んだことを指摘しました。総損失は約570万ドルです。攻撃チェーンは、分析用のパブリックサーバーから始まり、そのActuatorヒープダンプは通常のパスワード保護を受けていなかったため、攻撃者は別のサーバーの認証情報を取得し、最終的にスマートコントラクトの秘密鍵の制御権を得ました。この事件はEVMデプロイメントにのみ影響を及ぼし、Ethereum、Base、Blast、Berachainの一部の金庫が含まれ、SolanaデプロイメントおよびProp AMMには影響がありませんでした。現在、ユーザー補償プランについての最終更新はまだ提供されていませんが、「すべての損害を受けたユーザーに補償を行うこと」がチームの最優先事項であり、今後Discordコミュニティで調査進捗の更新が発表される予定です。

Cointelegraph の報道によると、暗号リスク管理およびインフラ提供者の Chaos Labs は、そのオラクルネットワークが先週末に「国家レベル」のハッキング攻撃を受けたと述べていますが、侵害はされていません。Chaos Labs の創設者 Omer Goldberg は X プラットフォームで、攻撃の範囲は日常的なチェーン上の操作に使用される運用ウォレットに厳密に限定されており、オラクルネットワークは一度も侵入されていないと述べています。オラクルは完全に隔離された環境で運営されており、ノードは世界中に分散しており、多層のセキュリティと暗号制御によって保護されています。Chaos Labs は攻撃の試み以降、すべてのキーをローテーションしており、疑わしい活動は再び発見されていません。

LidoはKelpのセキュリティ事件の最新進展を発表し、EarnETHの初損保護メカニズムが1%の閾値を下回ることに関するSnapshot投票が法定人数に達し、承認されたことを示しました。EarnETHユーザーの損失はLido Earnの初損メカニズムによって全額カバーされます。攻撃者が保有していたrsETHは清算され、関連するstETHはDeFi Unitedの救済プログラムに移転されました。さらに、EarnETHの金庫はKelpプロトコルが再稼働した後、間もなく再オープンする予定で、その際ユーザーは通常通り入出金操作を行うことができます。Lidoは、凍結期間中もEarnETHとEarnUSDの金庫が引き続き収益を生み出していることを強調しました。現在、EarnETHユーザーは短い解凍プロセスが完了するのを待つだけで、資金が回復次第、初損保護メカニズムに従って補償を受けることができます。

CoinDeskの報道によると、道富銀行のデジタル資産責任者であるAngus Fletcherは、Consensus Miami会議で、最近のDeFi攻撃事件が頻発する中で、機関投資家はブロックチェーンのセキュリティ性能の改善を望んでいると述べました。彼は、数兆ドルの現実世界の資産がブロックチェーンに移行する前に、若い暗号業界は今すぐに解決策を見つける必要があると指摘しました。Fletcherは、ブロックチェーン間の相互運用性は明確に定義され理解される必要があり、機関顧客はクロスチェーントークンの法的所有権と法的権利を理解する必要があると考えています。Morphoの責任者であるDennis Breeは、4月がDeFiの歴史の中で最もハッキング攻撃が多かった月である可能性があり、規制当局は担保資産のセキュリティに対してより多くのデューデリジェンスを行っていると述べました。

ウォール・ストリート・ジャーナルの報道によると、アルゴリズム開発会社MicroAlgo Inc.は、量子技術に基づくブロックチェーンアーキテクチャを発表しました。これは、循環量子安全チャネル（QSC）と量子鍵配送（QKD）を統合することで、取引の安全性と透明性を向上させるものです。このアーキテクチャは、量子通信層、ブロックチェーンコア層、スマートコントラクト層、アプリケーション層の4層設計を採用しています。その中で、QKDは鍵の高安全生成と配布を実現し、量子暗号は取引データを盗難や改ざんから保護し、量子計算攻撃に対する耐性も備えています。さらに、システムは鍵の定期的なローテーションと量子署名メカニズムを通じて長期的な安全性を強化し、分散型台帳とコンセンサスメカニズムを組み合わせることで、データの改ざん不可と取引の検証可能性を確保し、安全性と透明性のバランスを実現しています。しかし、同社は量子技術が成熟度と商業化の面で依然として課題があることを指摘しており、大規模な導入にはまだ時間が必要です。

ある暗号通貨のKOLがXプラットフォームで投稿し、ビットコインの富豪ランキングで1位のアドレスはバイナンス関連のアドレスであり、"3"で始まるウォレットアドレスで、20万枚以上のBTCを保有していると述べ、バイナンスがこのような大量のビットコインを単一のアドレスに集中して保管することの安全性に疑問を呈し、私鍵の衝突による解読のリスクを懸念している。これに対しCZは次のように応じた："3で始まるのはマルチシグでしょう？3つ以上の私鍵を衝突させる必要がある？数学を信じてください。"分析によれば、このアドレスはおそらくマルチシグネチャメカニズムを採用しており、理論的には私鍵の衝突の可能性が存在するものの、実際の解読難易度は非常に高い。

Wasabi ProtocolはXプラットフォームでセキュリティ事件の更新を発表し、現在ユーザーは安全にプロトコル契約と相互作用し、残りの資金を引き出すことができると述べています。チームは、裏で最大限の努力をして関連処理を進めているが、事件はまだ継続的な調査段階にあるため、現時点では詳細を開示できないとしています。今後、条件が整い次第、コミュニティに最新の進展を迅速に共有する予定です。

Purrlendは、HyperEVMとMegaETHの展開でセキュリティ事件に遭遇し、約152万ドルの損失を被ったと発表しました。攻撃者はチームの2/3の管理者マルチシグウォレットを突破し、悪意のあるEOAにBRIDGE_ROLEなどの権限を付与し、mintUnbackedを通じて無担保のpUSDm、pUSDCを鋳造し、担保として借出プール内の資産を使用しました。Purrlendはプロトコルを一時停止し、関連する権限を取り消し、セキュリティチーム、法執行機関、クロスチェーンブリッジのパートナーと共に資金の追跡と回収を試みていると述べています。

Syndicateは、以前の安全事件に関する更新を発表し、秘密鍵の漏洩により2つのチェーン上のブリッジ契約が悪意を持ってアップグレードされ、約1850万枚のSYND（約33万ドル）および約5万ドルの顧客トークンが盗まれたと述べました。影響を受けたユーザーは全額賠償を受け、SYND保有者には追加の補償が提供されます。攻撃は多段階の偵察、インフラストラクチャのマッピング、脆弱性の開発および正確なタイミングを含み、内部関係者の関与の可能性は排除されました。脆弱性の根本原因は、秘密鍵がパスワードマネージャに保存されており、アップグレードプロセスがマルチシグやハードウェア署名を使用していなかったことです。Syndicateは、パスワードマネージャの外に暗号化層を追加し、アップグレード経路にマルチシグまたはハードウェア署名を採用するなど、セキュリティ対策を強化しています。

Wasabi Protocolは、WasabiがSolana上での契約が安全であり、今回の脆弱性の影響を受けていないことを示しています。この脆弱性はWasabiのEVMデプロイメントに限られています。チームは主要なセキュリティチームと協力しており、法執行機関やFBIにも連絡を取っています。今後の進展は利用可能になり次第発表されます。