セキュリティリスク

『フォーチュン』誌の報道によると、Anthropic社が漏洩した文書は、その次世代超強ロボット「Claude Mythos」がテスト中であることを示しており、同社はこのロボットが「前例のないサイバーセキュリティリスクを構成する」と考えています。マスクはこれについて「非常に懸念される」と述べました。

金十の報道によると、中国インターネット金融協会は、OpenClawのスマートデバイスが作業効率を向上させることができるが、そのデフォルトの高いシステム権限と弱いセキュリティ設定は、攻撃者に利用されやすく、機密データの盗難や不正な取引操作の突破口となる可能性があり、業界に厳しいリスクと課題をもたらすと警告しています。中国インターネット金融協会は、金融消費者に対して、オンラインバンキング、証券取引、支払いなどの個人金融業務を行う端末にOpenClawを慎重にインストールするように推奨しています。もしインストールが必要な場合は、金融サービス系システムの操作権限を付与せず、OpenClawの脆弱性修正を迅速にフォローし、機能プラグインのインストールを厳しく管理し、使用していないときに身分証番号、銀行カード番号、支払いパスワードなどの機密情報を入力しないようにしてください。また、このようなアプリケーションは実行中に大規模モデルのインターフェースを継続的に呼び出すため、比較的高いトークン費用が発生する可能性があるため、使用者は注意を払うことをお勧めします。

中国国家网络与信息安全信息通报中心监测数据显示，目前全球活跃的 OpenClaw 互联网资产已超 20 万个，其中境内活跃的 OpenClaw 互联网资产约 2.3 万个，呈现爆发式增长态势，主要集中在北京、上海、广东、浙江、四川、江苏等互联网资源密集区域。大量暴露于互联网的 OpenClaw 资产存在重大安全风险，极易成为网络攻击的重点目标。其中，智能体行为不可控，管控难度大。OpenClaw 智能体在执行指令过程中易发生权限失控现象，导致越权执行任务并无视用户指令，可能会出现删除用户数据、盗取用户信息、接管用户终端设备等情况，造成重大经济损失。

OKX 創業者兼 CEO の Star は X プラットフォームで DeBot のセキュリティ事件に対して発言し、次のように述べました：「ウォレットの盗難は、いくつかの一般的な状況によって引き起こされます。DEX Bot のような製品の秘密鍵の集中化リスクは、関連製品がユーザーの秘密鍵をサーバーにアップロードし、平文または解読可能な形式で保存することに関係しています。一度ハッカーに侵入されると、そのリスクレベルは実際には取引所と同等になります。したがって、このような製品のセキュリティ基準は取引所レベルに達する必要があります。そうでなければ、リスクは非常に高くなります。自己管理ウォレットのコードの脆弱性や主観的な悪意のリスク、ユーザーの端末が攻撃されるかデータが漏洩するリスク、自動化された戦略が秘密鍵の管理に構造的に依存していることが挙げられます。」Star はさらに、ウォレットのセキュリティの正しい進化の方向性は、秘密鍵の安全性と使いやすさが対立しない関係であると述べました。

慢雾テクノロジーの最高情報セキュリティ責任者 23pds は X プラットフォームで、React/Next.js の最新のリモートコード実行脆弱性に新たな攻撃チェーンが出現したことを受けて、攻撃成功率が大幅に向上するだろうと述べました。現在、多くの DeFi プラットフォームが React を使用しており、この脆弱性の影響を受ける可能性が高いため、各 DeFi プラットフォームは必ずセキュリティリスクに注意する必要があります。

ChainCatcher のメッセージ、SlowMist の情報セキュリティ責任者 23pds が X プラットフォームで発表したところによると、新型 WebAuthn キーによるログインバイパス攻撃手法が存在します。攻撃者は悪意のあるブラウザ拡張機能やウェブサイトの XSS 脆弱性を利用して WebAuthn API をハイジャックし、パスワードログインへの強制的なダウングレードや、資格情報を盗むためのキー登録プロセスの改ざんを実現できます。この攻撃は、デバイスへの物理的接触や生体認証機能へのアクセスを必要としません。WebAuthn は W3C と FIDO アライアンスによって策定された重要な Web 認証標準であり、ハードウェアキーや生体認証など多様な認証方式をサポートしており、現在はウェブサイトの安全なログインに広く利用されています。関連企業やユーザーは、このセキュリティリスクに迅速に注意を払うことをお勧めします。

ChainCatcher のメッセージ、最近、NVIDIA の計算力チップに深刻なセキュリティ問題があることが明らかになりました。以前、アメリカの議員は、アメリカから輸出される先進的なチップには「追跡位置」機能を備えるよう求めました。アメリカの人工知能分野の専門家は、NVIDIA の計算力チップの「追跡位置」「リモートオフ」技術が成熟していることを明らかにしました。中国のユーザーのネットワークセキュリティとデータセキュリティを維持するために、《ネットワークセキュリティ法》《データセキュリティ法》《個人情報保護法》に基づき、国家インターネット情報局は 2025 年 7 月 31 日に NVIDIA 社と面談し、中国向けに販売される H20 計算力チップの脆弱性やバックドアのセキュリティリスクについて説明を求め、関連する証明資料の提出を要求しました。(金十)

ChainCatcher メッセージ、Hyperliquid チームからの注意事項です。傘下の HyperFND の公式 X（旧 Twitter）アカウントが攻撃を受けました。現在公開されているリンクやツイートには安全リスクがありますので、ユーザーはクリックやインタラクションを行わないようにしてください。公式は、Hyperliquid ブロックチェーン自体には影響がないことを強調しています。

ChainCatcher のメッセージ、暗号探偵の ZachXBT は Coinbase の最近のユーザーデータ漏洩事件についてコメントし、取引所が電話番号の提供を求める行為は非常に安全でないと指摘しました。彼は、詐欺師が「Coinbase」と表示された電話やSMSを偽造することで、多くの資金が盗まれたと強調しました。ZachXBT は、ほとんどの人が1つの電話番号しか持っておらず、多くのウェブサイトが提供を求めるため、これらの番号が最終的にデータ漏洩で暴露され、技術に不慣れなユーザーがこのような攻撃に対抗することがほぼ不可能になると述べました。以前の報告によれば、一部の攻撃者は Coinbase の従業員を買収して情報を入手し、7-8桁の資産を持つ高ネットワーク資産アカウントのユーザーを特に狙っているとのことです。

ChainCatcher メッセージ、GoPlus Security 警告、Ronaldinho の STAR10 トークンには深刻なセキュリティリスクがあります。GoPlus は、トークンの所有者が任意に他の保有者のトークンを破棄できることを発見しました。所有権がまだ放棄されていないため、すべてのトークンには無警告で破棄されるリスクがあります。GoPlus Security は Ronaldinho チームに対し、コミュニティの安全を守るために直ちに所有権を放棄するよう呼びかけています。また、トレーダーに対してこのトークンに対する高い警戒を保つように注意を促し、BNB チェーンがユーザーに関連リスクに注意するよう通知することを推奨しています。

ChainCatcher のメッセージによると、バイナンスの前 CEO であるジャオ・チャンポンは、ユーザーが「Giggle Academy のメールにファイルダウンロードリンクが含まれている」との報告を受けて、「チームにこれは誤った招待方法であると伝えてください。暗号業界の人々は決して電子メールからファイルをダウンロードすべきではありません。これは大きなセキュリティリスクであり、修正される予定です。」と返信しました。

ChainCatcher メッセージ、ChainCatcher と RootData、Oak Grove Ventures が共同開催する「Web3 Insight Summit」大会が本日、香港のラディソン・ブル・ホテルで開催されました。大会では、Web3 セキュリティソリューション GoPlus Security の創設者 Mike が「Web3 User Security Network：User Security Module as a Service（Web3 ユーザーセキュリティネットワーク：ユーザーセキュリティモジュールとしてのサービス）」というテーマで講演を行いました。Mike は、GoPlus が業界内の 80% のユーザー使用シーンをカバーしていることを述べ、現在主流の Web3 データサイトには Uniswap、DEXTools、DEX Screener、CoinMarketCap、Audit Scan、MetaMask Snaps などがあり、これらは GoPlus の API を使用しています。ここ2年、ユーザー行動が増加するにつれて、ユーザー側のセキュリティリスクシーンが増え、関連市場も拡大しています。そのため、GoPlus の基盤サービスの提供方法は、B 向けの API 提供からエコシステム全体の開発へとシフトしています。現在、GoPlus はオープンで透明性があり、ユーザー主導の Web3 ユーザーセキュリティネットワークを積極的に開発しており、ユーザーが検証可能なオープンセキュリティデータを提供しています。GoPlus は 3 月初めに個人セキュリティサービスプラットフォーム「SecWareX」を正式に立ち上げ、立ち上げから1ヶ月後の独立アドレス数は 60 万を超えました。「Web3 Insight Summit」は ChainCatcher が主催し、世界で最も思考力と革新力のある Web3 の専門家を集め、業界により多くの建設的な思考を提供し、より多くの業界インサイトを提示し、Web3 の主流化を支援することを目的としています。

ChainCatcher のメッセージ、セキュリティチーム Decurity は Curve プラットフォームの別のセキュリティ脆弱性を発見しました。Curve は一部のトークン市場のスマートコントラクトで ERC-777 コールバックを使用しており、この使用法にはセキュリティ上のリスクがあり、再入攻撃を受ける可能性があります。Decurity はまた、ある MEV ボットがこの脆弱性を利用して 1900 ドルの攻撃を行ったことを指摘しました。Curve の公式は、この問題は歴史的な遺産の問題であると応答しました。この攻撃は pBTC プールで発生し、このプールは以前にすでに廃止されており、契約内にはわずかな資金が残っているだけです。