スクリプト

ブロックチェーン情報会社AMLBotの監視データによると、最近PolymarketのユーザーはPolygonネットワーク上でフロントエンドが悪意のあるスクリプトに侵入され、約310万ドルのPUSDが盗まれました。攻撃者は悪意のあるスクリプトを埋め込むことで、ユーザーに承認取引（EIP-7702委託実行を含む）を署名させ、ユーザーのウォレットが空にされました。盗まれた資金はその後、Relayを通じてUSDC.eに変換され、イーサリアムにブリッジされ、最終的にETHに交換されて指定されたアドレスに集中されました。現在、約1891.9枚のETHが3つの新しいウォレットに分散しています。AMLBotは、今回の攻撃が2024年の1inchウェブアプリケーションにおけるLottie Playerライブラリに悪意のあるウォレット盗難スクリプトが埋め込まれた事例に類似していると指摘しており、いずれも第三者のスクリプトが攻撃されてフロントエンドが汚染された結果です。

Cryptopolitan の報道によると、Reaper と呼ばれる新しい macOS マルウェアが WeChat や Miro などのアプリの偽のダウンロードページを通じて広がっており、暗号通貨ウォレットのデータ、ブラウザのパスワード、敏感な文書を盗むことを目的としています。このマルウェアは AppleScript URL を利用してシステムに内蔵されたスクリプトエディタを起動し、ASCII アートやスペースを使って悪意のあるコードを隠しています。ユーザーが実行ボタンをクリックすると、偽の Apple セキュリティ更新ポップアップが表示され、被害者にコンピュータのパスワードを入力させるように誘導します。Reaper は Ledger Live、Trezor Suite、Exodus などのデスクトップ暗号アプリをターゲットにし、ウォレット内部のコードを変更して将来の取引を傍受し、資金をリダイレクトします。同時に Chrome、Firefox、Edge から保存された認証情報を盗み、デスクトップやドキュメントフォルダから .docx、.pdf、.wallet などのファイルを抽出します。Reaper はまた、Google ソフトウェア更新ディレクトリに偽装したバックドアをインストールし、持続的な攻撃を実現します。セキュリティ専門家は、ユーザーにダウンロードリンクを確認し、予期しないポップアップにパスワードを入力しないように、スクリプトエディタを開くように要求された場合はすぐにページを閉じることを勧めています。

公式のTwitterの情報によると、B.AIは最新の週報を発表し、開発者エコシステムと金融インフラの構築におけるいくつかの重要な進展を明らかにしました。製品面では、B.AIは正式にOpenClaw自動設定スクリプトを立ち上げ、オープンソースのAIコーディングアシスタントBAI Codeを発表し、Stripeの統合を完了し、エコシステムの支払いと開発体験の基盤を強化しました。ウォレットサポートに関しては、新たにKuCoin Web3およびTrust Walletの複数リンクを追加しました。ユーザー数が100万人を突破する中、B.AIはKuCoin、Symbiosisなどのプラットフォームとの深い協力を通じて、自律型インテリジェントエージェント向けの開発者ツールチェーンと金融接続能力を継続的に拡張し、デジタル経済時代のAIインフラのコアを構築することに尽力しています。

据币安現物データによると、市場は強気と弱気に分かれており、複数のトークンが高値から反落しています。DATAは24時間で9.89%下落、MANAは8.28%下落、SCRTは15.11%下落、GHSTは6.83%下落、WAXPは6.02%下落、OPENは5.94%下落しました。一方、GUNは24時間で18.14%上昇し、底打ちからの回復状態を見せています。

ChainCatcher のメッセージによると、SlowMist の最高情報セキュリティ責任者 23pds が X プラットフォームのユーザー @Miles082510 の暴露投稿を転送しました。開発者 @web3_cryptoguy が Web3 の「ツール作者」を装い、悪意のあるスクリプトツールを提供しています。このツールはバックグラウンドでユーザーのローカルの敏感なファイルをスキャンし、秘密鍵、ウォレットファイル、リカバリーフレーズなどの重要なデータを盗み出し、匿名サーバーにアップロードします。このプロセスは非常に気づきにくいです。SlowMist は、資産の損失を防ぐために、出所不明のスクリプトツールの使用を避けるようユーザーに警告しています。

ChainCatcher のメッセージ、Binance は一部のユーザーがボットを使用して Alpha 活動に参加し、Alpha Points プロジェクトの公平性を損なっていることを発表しました。このため、プラットフォームはリスク管理システムをアップグレードし、関連行為の検出と処理を強化しました。Binance は明確に、スクリプト、自動化ツール、またはその他の非手動方式を使用する行為はすべて違反と見なされ、関連アカウントの Alpha Points 資格が取り消されると述べています。必要に応じて、さらなる制限が実施される可能性があります。Binance はすべてのユーザーにルールを遵守し、プロジェクトの公平性と透明性を共に維持するよう呼びかけています。

ChainCatcher メッセージ、暗号 KOL @Xuegaogx が暴露、リリースされた KOL @hao3313076 の t3rn スクリプトにバックドアリスクが存在する疑い。秘密鍵入力呼び出しロジックと組み合わせることで、ユーザーの秘密鍵を Telegram API を通じて静かに ID 5963704377 のアカウントに送信することができます。この関数は、設定記録のログ出力を装って実際の行動を隠蔽し、実際の内容には平文の秘密鍵が含まれています。

ChainCatcher のメッセージによると、Slow Mist の創設者である余弦氏は、Lottie Player がサプライチェーン攻撃を受けたと述べています。Ace Drainer によるフィッシンググループが有名な Web3 プロジェクトに依存するフロントエンドスクリプトモジュール Lottie Player に対して攻撃を行いました。幸いにも、早期に発見され、影響はそれほど大きくないと思われます。プロジェクトで Lottie Player モジュールを使用している場合は、悪意のあるコードが導入されていないか確認してください（現在知られている 2.0.4 バージョンおよび最新の 2.0.8 バージョンには悪意のあるコードは含まれていません）。

ChainCatcher のメッセージによると、Zulu の公式 Twitter によれば、Zulu は Groth16 スクリプトの分割を完了しました。2 つのパブリック入力から、合計 1701 のサブスクリプトが分割され、サイズは 4M 未満、スタック深度は <1000 です。今回の ZKP スクリプトの分割完了は、BitVM が商用化に向けての新たなマイルストーンを迎えたことを示しています。Zulu Network の次のステップは、BitVM2 に基づく ZK ブリッジの開発であり、Bitcoin ネットワークのセキュリティを統合した初のビットコイン L2 になることが期待されています。

ChainCatcher のメッセージによると、Taproot Wizards の開発者の一人が、ビットコイン愛好者のために Ordinals の刻印を拒否する方法を考案したと述べています。このスクリプトを実行することで、刻印を含むブロックを拒否できます。彼は次のように付け加えました。「もし経済的に大多数のノードがこうするなら、マイナーは刻印のないチェーン上に構築することを選ぶか、あるいは彼らの製品をより小さな市場に販売するでしょう。」

ChainCatcher のメッセージによると、DeFi アグリゲーター Yearn Finance は、誤ったマルチシグネチャスクリプトが Yearn の Lp yCRV における 63% の LP ポジションに影響を与え、資金を返還する前に合計 140 万ドルの損失が発生し、全体の金庫資金の約 2% に相当することを示しています。ユーザーの資金には影響がありませんでした。また、Github 上の開示投稿によると、この事件は「Yearn 財庫のための定期的な手数料トークン変換プロセス」を代表している間に発生しました。誤ったスクリプトにより、3,794,894 の lp-yCRVv2 トークンが 779,958 の yvDAI トークンに交換されました。

ChainCatcher のメッセージ、ZeroSync プロジェクトの責任者であり、BitVM 開発者の Robin Linus がソーシャルメディアに投稿し、私たちはビットコインスクリプト（Bitcoin Script）で実装された Blake3 ハッシュロックの最初のメインネット取引を放送したばかりです。報告によると、Robin Linus は「BitVM：Compute Anything On Bitcoin」というタイトルのホワイトペーパーを発表しており、BitVM は「ビットコイン仮想マシン Bitcoin Virtual Machine」の略で、ビットコインネットワークのコンセンサスを変更することなく、チューリング完全なビットコイン契約ソリューションを実現する方法を提案しています。

ChainCatcher のメッセージ、分散型永続契約プロトコル dYdX が v4 アーキテクチャとフロントエンドの動作について紹介し、その Web フロントエンドはプログラム的に v4 と対話したくないトレーダーに直感的な UI/UX を提供すると述べています。現在、3 つのフロントエンドを構築中です：1 つの Web アプリケーション、1 つの iOS アプリケーション、1 つの Android アプリケーション。また、高度なユーザー / 機関向けに Typescript と Python SDK も提供します。dYdX は、すべてのフロントエンドコードベースと関連するデプロイスクリプトをオープンソース化し、誰でも自分のドメイン / ホスティングソリューションを通じて dYdX フロントエンドを簡単にデプロイできるようにすると述べています。（出典リンク）

ChainCatcher のメッセージによると、Curve Finance は、ネイティブステーブルコイン crvUSD のデプロイに関する同行監査を行った結果、現在のバージョンの crvUSD を再デプロイする必要があることを発表しました。デプロイは本日行われる予定です。また、デプロイメントスクリプトにエラーがあるため、veCRV は手数料を受け取ることができません。以前のニュースによれば、Curve のネイティブステーブルコイン crvUSD はメインネットにスマートコントラクトがデプロイされていますが、UI はまだデプロイされていません。（ソースリンク）

ChainCatcher のメッセージ、イーサリアム研究者の Luke がツイートしたところによると、Curve のネイティブステーブルコイン crvUSD のメインネットデプロイスクリプトが GitHub に公開されました。以前の報道によれば、昨年 11 月に Curve Finance の開発者は、Curve が近日中に発表する分散型ステーブルコイン crvUSD の公式コードとホワイトペーパーを公開しました。（出典リンク）