セキュリティ研究者

CriptoNoticiasによると、ある独立したセキュリティ研究者がCoinbase AgentKitにprompt injectionの脆弱性が存在することを明らかにしました。攻撃者は悪意のあるコマンドを通じてAIエージェントを誘導し、承認されていないトークンの転送を実行させることができ、手動確認は不要です。この脆弱性はBase Sepoliaテストネットで実際の取引を通じて検証されました。さらに、研究者はこの脆弱性がERC-20トークンの無限承認プロセスを暴露し、エージェントの同一実行コンテキスト内でリモートサーバーへのアクセス権を持つことを指摘し、リスクをウォレットが空になる以上の範囲に拡大させる可能性があると述べていますが、報告書では具体的にどのインフラが影響を受ける可能性があるかは詳述されていません。この脆弱性は2月にCoinbaseのバグバウンティプログラムに提出され、公式に確認されました。最終的には中程度の危険度として処理され、2,000ドルの報酬が支払われました。しかし、研究者は脆弱性の実際の影響は公式の評価よりもはるかに大きいと強調しています。

ChainCatcher のメッセージによると、Decrypt の報道で、最近 Check Point が「Banshee」と呼ばれる macOS マルウェアを発見しました。このマルウェアは、ウイルス対策ソフトウェアの検出を回避するために Apple の暗号化アルゴリズムを模倣し、暗号ウォレットやブラウザの認証情報をターゲットに攻撃を行います。しかし、Apple のセキュリティ研究者である Patrick Wardle は、この脅威はメディアによって過大評価されており、実際の危害は限られていると述べています。Banshee は「盗難即サービス」（Stealer-as-a-Service）として運営されていましたが、ソースコードの漏洩により 2024 年 11 月に終了しました。Wardle は、このソフトウェアの暗号化方法は比較的基本的であり、新しい macOS システムはこのような脅威に対してデフォルトで防御できるため、一般ユーザーにはほとんどリスクがないと指摘しています。彼は、特定のマルウェアに注目するよりも、基本的なセキュリティプラクティスに焦点を当てるべきだと強調しています。

ChainCatcher のメッセージによると、Cointelegraph が報じたところでは、ブロックチェーン企業 Virtuals Protocol のスマートコントラクトが、セキュリティ研究者 Jinu（仮名）によるレビュー中に偶然に脆弱性が発見されました。Virtuals Protocol は迅速に修正措置を発表し、脆弱性報奨プログラムを再開しました。12 月 3 日、Jinu はコントラクトのレビュー中にこの問題を偶然発見し、すぐに Virtuals Protocol に報告しましたが、その後、同社には活発な脆弱性報奨プログラムがないことを知り、彼の発見は報酬の条件を満たさないことが分かりました。Jinu によれば、Virtuals Protocol チームはこの脆弱性を報告するための Discord グループも閉鎖しました。X プラットフォームの投稿で、Jinu は「この脆弱性は Virtuals エコシステムに影響を与える可能性があり、悪用されると、コントラクトが修正されるまで AgentTokens の生成を妨げることになります。」と述べました。この情報を X プラットフォームで公開した後、Virtuals Protocol は Jinu に連絡し、すぐに修正措置を発表しました。修正措置は迅速に発表されましたが、Virtuals Protocol は Jinu に脆弱性報奨を提供することをまだ発表していません。同社は研究者へのメッセージの中で、Jinu がこの問題を報告してくれたことに感謝し、以前のコミュニケーションの不備について謝罪しました。

ChainCatcher のメッセージによると、Cointelegraph が報じたところによれば、ある Web3 セキュリティ研究者が Cosmos ネットワークのドキュメントを読み、Evmos ブロックチェーンおよびその上に構築されたすべての分散型アプリケーション（DApp）が停止する可能性のある深刻な脆弱性を発見し、150,000 ドルの報酬を得たとのことです。10 月 28 日に公開されたブログ記事で、セキュリティ研究者「jayjonah.eth」は、Cosmos ドキュメントで遭遇した「モジュールアカウント」の概念について次のように説明しています。「これらのアドレス（モジュールアカウント）が受け取る資金が状態機械の期待されるルールを超えると、不変性が破壊され、ネットワークが停止する可能性があります。」Cosmos ドキュメントに基づいて Evmos ブロックチェーンのクラッシュテストを行ったセキュリティ研究者は、テスト環境でモジュールアカウントに資金を送信してこの理論を検証し、「この時点で、ブロックはもはや生成されず、ブロックチェーンは完全に停止しました。これにより、Evmos ブロックチェーンおよびその上に構築されたすべての DApp が破壊されます。」と報告しました。彼は、Evmos チームが情報公開の前にこの脆弱性を修正したことを明らかにしました。

ChainCatcher メッセージ、2023 年 9 月、@f4lt という名前のセキュリティ研究者が HackenProof を通じて Sui のバグバウンティプログラムで高リスクの脆弱性を公開しました。報告によると、この脆弱性は攻撃者が Sui ブロックチェーンのバリデーターノードを破壊する可能性があります。Sui チームは問題を発見後、迅速に対応し解決し、成功裏に修正した後、このセキュリティ研究者は 50,000 ドル相当の SUI トークンの報酬を受け取りました。