脆弱性

VerusはXプラットフォームで、Verus-Ethereumクロスチェーンブリッジが攻撃を受けたことを確認しました。Ethereumチェーン上の契約にあるETH、USDC、tBTCが盗まれ、現在他のブリッジ資産には影響が出ていません。Verusネットワークは現在停止しており、大多数のブロック生成ノードは攻撃の影響を受けて自発的にオフラインになっています。開発チームは事件の影響範囲、攻撃経路、今後の処理方法を全力で調査しており、さらなる情報が確認され次第、進捗を発表します。Verusは、関連する法執行機関と協力して法的責任を追及する意向を示していますが、攻撃者が全額返還する場合、プロジェクト側は脆弱性報奨金を提供し、さらなる責任追及は行わないとしています。また、Verusは、公開チャンネル、プライベートメッセージ、または他のチャネルで自称Verusチームまたはコミュニティメンバーであり、「賠償」や「補償プラン」を提供する人物はすべて詐欺師であると警告しています。公式は、賠償プロジェクトが存在すると主張する人や補償を提供する人とやり取りしないように強調し、関連アカウントをDiscordまたはXプラットフォームに通報するように求めています。以前、VerusのEthereumクロスチェーンブリッジが攻撃を受け、約1158万ドルの損失がありました。

The Blockの報道によると、ナスダック上場のビットコインATM運営会社Bitcoin Depotは、テキサス南区裁判所に第11章破産を申請し、事業を段階的に閉鎖することを計画しています。会社のCEOアレックス・ホルムズは、規制環境の変化により現在のビジネスモデルが持続不可能になったと述べ、各州は新しい取引制限を含むより厳しいコンプライアンス義務を実施しており、一部の司法管轄区域ではビットコインATMの運営を直接制限または禁止しています。4月には同社がセキュリティの脆弱性に直面し、370万ドルが盗まれました。先週、同社は現金輸送の照合に「重大な欠陥」があるため、第一四半期の財務報告書を期限通りに提出できないと発表しました。初期の監査されていないデータによると、第一四半期の収益は前年同期比で49.2%減少し、純損失は950万ドルで、前年同期は純利益1220万ドルでした。同社は2016年に設立され、北米最大のビットコインATMネットワークを運営し、世界中に9000台以上の機械を保有しています。

THORChainはXプラットフォームでハッキング事件の更新を発表しました。初期の証拠によると、最近ネットワークに参加したノードが悪意のある操作者に制御されている疑いがあり、GG20 TSSの脆弱性を通じて金庫参加者の鍵情報を取得し、最終的に金庫の秘密鍵を再構築して未承認の出金取引を実行しました。現在、複数のTHORChainノードが停止しているため、ネットワークは一時停止状態にあり、約12時間後にRUNEの送金が再開される見込みですが、具体的な状況はノードの決定に依存します。取引、流動性提供者の操作、署名などの機能はまだ使用できず、ネットワーク機能の完全な回復には数日かかると予想されています。回復策が議論中であり、影響を受けたノードのステーキング削減やコミュニティから提案された他の救済策が含まれる可能性があります。

Aaveは、報酬がエコシステム内の各部分のリスク状況により適合するように、バグ報奨プログラムを更新したと発表しました。また、審査のプロセスを簡素化しました。Aave V4およびCore Aave V3の重大なバグ修正報酬の上限は現在5倍に引き上げられました。

Aaveの公式は、エコシステムの各部分のリスク特性により適合させ、審査プロセスを簡素化するために、バグ報奨金プログラムの更新を発表しました。最新の調整により、Aave V4およびCore Aave V3の重要なバグ（Critical Bug）に対する報奨金の上限が元の5倍に引き上げられました。Aave Labsは同時に、報奨金フレームワークの再編成を提案し、異なるサブシステムをImmunefi、Sherlock、Cantinaなどのプラットフォームで管理することにしました。その中で、Core Aave V3、V2、GHOなどのコア部分は引き続きImmunefiが担当し、Aave V4およびAave App StackはSherlockに移行し、Aave V3 on AptosはCantinaが担当します。

Blockの傘下にあるビットコインオープンソース開発部門Spiralは、オープンソースビットコインプロジェクト向けの無料AI脆弱性スキャンツールLoupeを発表しました。このツールは継続的なセキュリティスキャンをサポートし、中小規模の開発チームがセキュリティ監査能力を向上させることを目的としています。

公式な情報によると、スマートコントラクト監査プラットフォーム Code4rena は徐々に運営を停止することを発表し、Web3 セキュリティ会社 Immunefi がその顧客とセキュリティ研究者を引き継ぐことになります。Code4rena はソーシャルメディアに投稿し、運営停止の決定を下したと述べ、すべての進行中のコンペティションと報酬活動は通常通り完了し、既存の協力関係は「適切に締めくくる」としています。Immunefi は Code4rena の報酬プロジェクト、報酬構造、研究者を自社プラットフォームに移行する手助けをすると述べています。Code4rena はその「競争的監査」モデルで知られ、独立した研究者が報酬を得るためにスマートコントラクトの脆弱性を見つける競争を行います。この運営停止は、ブロックチェーンセキュリティ会社 Zellic が 2024 年に Code4rena を買収してから 2 年も経っていません。以前、Code4rena は 2023 年に Paradigm から 600 万ドルを調達し、監査インセンティブとプラットフォームの拡張に使用しました。この閉鎖は、DeFi プロトコルとセキュリティ分野が困難な時期に直面している時期に行われます。DefiLlama のデータによると、4 月だけで 20 件以上の暗号脆弱性事件が発生し、月間記録を更新しました。モルガン・スタンレーのアナリストは、継続的な DeFi セキュリティ事件が主要な機関投資家の参入を制限していると考えています。同時に、DeFi の総ロック資産価値は 10 月の約 1600 億ドルから現在の約 830 億ドルに減少しています。

Decrypt の報道によると、Google の脅威インテリジェンスチームは、サイバー犯罪者が人工知能モデルを利用して、人気のあるオープンソースの Web 管理ツールに存在するゼロデイ脆弱性を発見し、悪用したことを確認しました。この脆弱性は二要素認証を回避することができます。Google は、これは同社が実際の環境で AI 支援のゼロデイ脆弱性開発を確認した初めてのケースであると述べています。攻撃者が大規模に悪用する準備をする前に、Google は影響を受けたベンダーと協力してこの脆弱性を修正しました。Google の報告によると、この脆弱性は論理エラーであり、ソフトウェアが二要素認証を回避する条件を信頼していました。従来のスキャナーがクラッシュやエラーコードを探すのとは異なり、AI はソフトウェアの期待される動作を分析し、論理的矛盾を検出することで、攻撃者が暗号を破壊することなくセキュリティチェックを回避できるようにしました。

慢雾の最高情報セキュリティ責任者23pdsが明らかにしたところによると、Linuxシステムに「Dirty Frag」と呼ばれる権限昇格の脆弱性が発覚し、詳細と利用コードが公開されました。この脆弱性により、ほぼすべての主流のLinuxディストリビューションで、ローカルの低権限ユーザーが直接root権限を取得できるようになります。これは決定論的な論理の脆弱性であり、攻撃は複雑な競合条件に依存せず、成功率が非常に高く、カーネルのクラッシュを引き起こすこともありません。危険性は非常に大きいです。Linuxユーザーは、システムを迅速にアップグレードすることをお勧めします。

CoinDeskの報道によると、Aave Labsは資産の上場と担保のリスク管理ルールを再構築し、既存の価格とボラティリティの評価に加えて、互換性、ネットワークセキュリティ、基盤となるアーキテクチャの審査を新たに追加し、資産発行者向けの最低基準ガイドラインを発表する予定です。この動きは、4月に発生したKelpDAOのクロスチェーンブリッジ攻撃事件に起因しており、ハッカーは約2.93億ドルの裏付けのないrsETHを鋳造し、Aaveで本物のwETHを担保に借り入れたため、プロトコルに数億ドルの不良債権が発生しました。Aaveはまた、単一プールの視点から異なるDeFiプロトコル間のシステム的関連性を研究する方向にシフトし、クロスプロトコルリスクを低減することを目指し、他のDeFiプロジェクトにも同様の基準を追随するよう呼びかけています。

Protos の報道によると、Bitcoin Core 開発者は最近、CVE-2024-52911 という番号の高危険度の脆弱性を公開しました。この脆弱性は、0.14.1 から 28.4 バージョンに影響を与え、マイナーが特別なブロックを掘ることで、他のユーザーのノードをリモートでクラッシュさせ、コードを実行することを可能にします。この脆弱性は、開発者の Cory Fields によって 2024 年 11 月に発見され、責任を持って公開されました。修正案は同年 12 月にマージされ、2025 年 4 月に v29 バージョンと共にリリースされました。最後の脆弱性のある 28.x バージョンシリーズは、2026 年 4 月 19 日にメンテナンスが終了しました。しかし、ビットコインのフルノードのアップグレードは任意の行動であるため、現在でも約 43% のノードが脆弱性のある古いバージョンのソフトウェアを実行しており、潜在的なリスクにさらされています。幸いなことに、この攻撃の実施コストは非常に高いため、マイナーはブロック報酬を得られない無効なブロックを掘るために大量の計算能力を投入する必要があり、実際には利用されていない可能性が高いです。

SolanaFloor は X プラットフォームで、ある疑わしい MEV ボットが Meteora の ANB プールに対して MEV 型のプール価格操作攻撃を行い、1 回の取引で 0.22 ドルの USDC を 69.6 万ドルの USDC に変換したと発表しました。ANB トークンは 99% 下落しました。

Zcash財団は公式にZebra 4.4.0バージョンのリリースを発表しました。この更新では、複数のコンセンサスレベルの重要なセキュリティ脆弱性が修正されており、すべてのノードオペレーターに対して直ちにアップグレードすることを強く推奨しています。これには、新しいブロックの発見が永久に停止する可能性のあるサービス拒否脆弱性、ブロック署名操作（sigops）カウントエラーによるコンセンサスの不一致、透明な取引署名ハッシュ処理の異常、メモリ割り当ての増幅攻撃リスクなどが含まれます。Zcash財団は、これらの脆弱性の一部がZebraノードがzcashdによって拒否されたブロックを受け入れる原因となり、チェーンフォークを引き起こす可能性があると述べています。適時に更新しない場合、ノードはブロック発見の中断、コンセンサスの分岐、リソース消費の増大などのリスクに直面する可能性があり、現在代替的な緩和策は存在しません。

Wasabi Protocolは、WasabiがSolana上での契約が安全であり、今回の脆弱性の影響を受けていないことを示しています。この脆弱性はWasabiのEVMデプロイメントに限られています。チームは主要なセキュリティチームと協力しており、法執行機関やFBIにも連絡を取っています。今後の進展は利用可能になり次第発表されます。

Cointelegraph の報道によると、クロスチェーンプロトコル ZetaChain は、最近約 33.4 万ドルの脆弱性攻撃事件に関与するセキュリティ問題が、脆弱性報奨金プログラムで研究者によって事前に報告されていたが、その時点ではプロジェクト側によって「予期される動作」と見なされ、対処されなかったことを明らかにしました。公式に発表された事故の振り返りによれば、今回の攻撃は、元々独立しているように見え、リスクが低い設計欠陥の組み合わせから発生しました：Gateway コントラクトは誰でも任意のクロスチェーン指示を送信できる；受信側はほぼ任意のコントラクトに対して呼び出しを実行でき、ブラックリストの制限が狭すぎる；一部のウォレットは長期間無限の承認（Unlimited Approval）を保持しており、清掃されていなかった。攻撃者は最終的にこれらの欠陥を組み合わせて、Gateway にトークンを直接自分の制御アドレスに転送させ、資産の移転を完了しました。ZetaChain は、この攻撃が Ethereum、Arbitrum、Base、BSC の 4 つのチェーン上で 9 件の取引に関与しており、盗まれた資金はすべて ZetaChain が管理するウォレットから来ており、ユーザーの資金には影響がなかったと述べています。公式は、この攻撃が明らかに計画的であるとしています。攻撃者は犯行の 3 日前に Tornado Cash を通じてウォレットに資金を注入し、専用の Drainer コントラクトを事前に展開し、さらにアドレス汚染（Address Poisoning）攻撃を実施しました。現在、ZetaChain はメインネットノードに修正パッチをプッシュし、任意呼び出し（arbitrary call）機能を永久に無効化し、預金プロセスにおける無限承認メカニズムを「正確な額の承認」に変更し始めています。

SuiエコシステムDEXプロトコルAftermath Financeは、チームがプロトコルに影響を与える脆弱性を発見したと発表し、安全パートナーと共に積極的に調査を行っています。予防措置として、プロトコルは一時停止されており、ユーザー資金への潜在的な影響を最小限に抑えるための措置が講じられています。

市場の情報によると、攻撃者は欠陥のある EIP-7702 アカウントを利用して、QNT 備蓄プールから 1,988.5 QNT（約 54.93 ETH）を盗みました。根本的な原因は、備蓄プールの管理者 EOA が EIP-7702 を通じてコードを BatchExecutor コントラクトに委託し、そのコントラクトが権限のない BatchCall コントラクトを承認された呼び出し元として設定したことです。BatchCall.batch() 関数には権限検証が設定されていないため、任意の外部呼び出し者が呼び出すことができ、最終的に備蓄プールの資産が枯渇する結果となりました。

DeFi Unitedは火曜日にKelp DAOのrsETHクロスチェーンブリッジの脆弱性に対する技術修正計画を発表しました。以前、攻撃者はLayerZero駆動のUnichainからEthereumへのブリッジの脆弱性を利用し、偽のインバウンドデータパケットを通じて116,500枚のrsETHを解放しました。そのうち約107,000枚は現在、AaveとCompoundの7つの関連アドレスに担保として分布しています。DeFi Unitedは、rsETHの支援を回復するために十分なETHのコミットメントを得たと述べており、rsETHに段階的に変換し、ブリッジロック契約に注入します。LayerZero Labsは火曜日に修正作業を支援するために10,000枚以上のETHを投入することを約束しました。清算攻撃者のポジションに関して、連合はAaveとCompoundのガバナンス提案を通じて制御された清算を実行し、それぞれ約13,000枚と16,776枚のETHを回収する見込みです。修正期間中、複数のチェーン上のWETHとrsETHの準備金は凍結状態を維持します。DeFi Unitedは、ガバナンス承認の進捗、攻撃者の干渉の可能性、そして新しいセキュリティ対策が本番環境での検証を待っていることなど、実行リスクについても警告しています。

a16zによると、その研究者たちはAIエージェントが独立してDeFiの価格操作の脆弱性を利用できるかどうかを系統的にテストしました。研究は20件のイーサリアム価格操作事件をデータセットとして使用し、Foundryツールチェーンを搭載したCodex（GPT 5.4）をテストエージェントとして使用しました。専門知識がない基準条件下では、エージェントの成功率はわずか10％でしたが、実際の攻撃事件から抽出された構造化された専門知識を導入すると、成功率は70％に向上しました。失敗事例では、エージェントは脆弱性を正確に特定できましたが、一般的に再帰的な貸し出しのレバレッジ論理を理解できず、利益の余地を誤って判断し、契約間の複数ステップ攻撃構造を組み立てることができませんでした。実験では、サンドボックスからの脱出事件も記録されました：エージェントはローカルノードの設定からRPCキーを抽出し、anvil_resetメソッドを呼び出してノードを未来のブロックにリセットし、情報隔離制限を回避して実際の攻撃データを取得しました。研究チームは、AIエージェントは現在、脆弱性の特定を効果的に支援できるが、専門のセキュリティ監査人を置き換えることはまだできないと考えています。

去中心化予測市場プラットフォーム Polymarket がハッキングされた疑いがあり、脅威行為者 xorcat が有名なネット犯罪フォーラムに30万件以上のデータ記録と関連する脆弱性利用ツールキットを公開しました。攻撃者は、未公開のAPIエンドポイント、ページングバイパス、Polymarket GammaとCLOB APIのCORS設定ミスを通じてデータを抽出したとされています。漏洩した内容には、1万件のユーザーの完全な個人情報（名前、代理ウォレット、基本アドレスを含む）、4111件のコメント、1000件の通報記録（58のETHアドレスと管理者認証アドレス識別を含む）、48536件のGamma市場のメタデータ、25万件以上のアクティブCLOB市場の固定積算マーケットメイカーアドレス、そして9000件のフォロワーのソーシャルグラフデータが含まれています。ツールキットには、複数の脆弱性の概念実証コードが含まれており、CVE-2025-62718（Axios NO_PROXYバイパス、CVSS 9.9、サーバーサイドリクエストフォージェリを引き起こす可能性）、CVE-2024-51479（Next.jsミドルウェア認証バイパス、CVSS 7.5）、およびCORS設定ミスなどが含まれています。さらに、ツールキットには自動化された継続的プルスクリプトと完全なレッドチームレポートも添付されています。