ハイジャック

DeFi貸出プロトコルHypurrFiがセキュリティ警告を発表し、ウェブサイトのドメイン名が侵害されたと述べ、潜在的なドメインハイジャック事件を調査中であることを明らかにしました。プロジェクトチームは「hypurr.fiドメインを使用しないでください」と明言し、ユーザーに対してさらなる通知があるまでプラットフォームとの相互作用を避けるように警告しています。チームは同時に、現在ユーザーの資金にはリスクがないこと、公式のソーシャルメディアは依然として管理下にあることを強調しています。HypurrFiはHyperEVM上で運営されており、総ロック価値は約3000万ドルです。分析によると、ドメインハイジャックは暗号業界で一般的な攻撃手法の一つであり、攻撃者は通常、フロントエンドページを制御して悪意のあるコードやウォレット盗難プログラムを埋め込むことで、基盤となるスマートコントラクト自体が安全であっても、ユーザーは資産リスクに直面する可能性があります。

DeFiプロジェクトSteakhouse Financialは、昨日OVH Cloudに対する電話社会工学攻撃を受けたことを発表しました。攻撃者はメインサイトとアプリのサブドメインのDNS Aレコードを悪意のあるIPに変更し、5日間のドメイン移転を試みました。現在、関連する変更は撤回され、DNSレコードはクリアされ、OVHと協力して解決に向けています。すべての金庫と契約は影響を受けておらず、預金者の資金は安全で、他のサービスアカウントは侵害されていません。問題が解決するまで、公式サイトやメールとのやり取りは行わないでください。詳細な事後報告はできるだけ早く発表されます。今朝、Steakhouse Financialは、公式サイトのドメインDNSレコードがクリアされている間、金庫はMorphoを通じて直接アクセス可能であり、預金、引き出しなどすべての機能が正常であることを報告しました。フロントエンドが復旧した後、別途確認されます。

ハッカーはGoogle Playストアを模倣したフィッシングページを通じて、ブラジルでAndroidマルウェア攻撃を開始しました。現在、すべての既知の被害者はブラジルにいます。攻撃者はGoogle Playに非常に似たフィッシングサイトを構築し、ユーザーに「INSS Reembolso」という偽のアプリをダウンロードさせるように誘導しました。このアプリがインストールされると、段階的に隠された悪意のあるコードが解放され、直接メモリにロードされて実行され、デバイス上に可視ファイルを残さず、非常に高い隠蔽性を持っています。マルウェアの主要な機能の一つは暗号通貨のマイニングであり、ARMデバイス用にコンパイルされたXMRigマイニングプログラムが内蔵されており、バックグラウンドで静かに攻撃者が制御するマイニングサーバーに接続します。このプログラムはバッテリー残量、温度、デバイスの使用状況を監視し、検出を回避するためにマイニングの動作を動的に調整し、静音の音声ファイルをループ再生することでAndroidシステムのバックグラウンドプロセス管理メカニズムを回避します。一部の亜種は銀行トロイの木馬も内蔵しており、BinanceやTrust WalletのUSDT送金画面に偽のページを重ねて静かに受取先アドレスを置き換えます。さらに、マルウェアは録音、スクリーンショット、キーボード記録、リモートロックなどの多くのリモートコントロール命令をサポートしています。

ネットワークセキュリティ機関 Moonlock Lab は、暗号ハッカーが最近「ClickFix」攻撃手法をアップグレードし、リスク投資機関を装ってソーシャルプラットフォームを通じてターゲットユーザーに接触し、悪意のあるコードを実行させて暗号資産を盗むことを報告しました。攻撃者は、SolidBit、MegaBit、Lumax Capital などの偽のベンチャーキャピタル機関を装い、LinkedIn を通じて協力の招待を送り、被害者を偽の Zoom または Google Meet 会議リンクに誘導します。ページには偽の Cloudflare「私はロボットではありません」検証ボタンが埋め込まれており、クリックすると悪意のあるコマンドがクリップボードにコピーされ、ユーザーがターミナルに貼り付けて実行するように誘導され、攻撃が完了します。研究者は、この方法が「被害者自身にコマンドを実行させる」ことで従来のセキュリティ防護機構を回避していると指摘しています。一方、ハッカーはブラウザ拡張機能をハイジャックして攻撃を実施しています。ネットワークセキュリティ会社 Annex Security の創設者 John Tuckner は、Chrome プラグイン QuickLens が 2 月 1 日に所有権を変更した後、2 週間後に悪意のあるスクリプトを含む新しいバージョンをリリースし、ClickFix 攻撃を引き起こしてユーザーデータを盗んだことを明らかにしました。このプラグインは約 7,000 人のユーザーがいて、現在はストアから削除されています。報告によると、ハイジャックされた拡張機能は暗号ウォレットのデータやリカバリーフレーズをスキャンし、Gmail の内容、YouTube チャンネルのデータ、ウェブログインや支払い情報を取得します。

据 Cointelegraph 报道，黑客正利用 "ClickFix" 攻击手法窃取加密货币，最新两起攻击涉及冒充风险投资公司和劫持浏览器扩展程序。ネットセキュリティ会社 Moonlock Lab の報告によると、詐欺師は SolidBit、MegaBit、Lumax Capital などの偽の VC を装い、LinkedIn を通じてユーザーに協力の機会を提供し、偽の Zoom や Google Meet のリンクをクリックさせるように誘導しています。リンクをクリックすると、ユーザーは偽の Cloudflare "私はロボットではありません" 認証ボックスを含むページに誘導され、そのボックスをクリックすると悪意のあるコマンドがクリップボードにコピーされ、ユーザーにターミナルを開いていわゆる確認コードを貼り付けるように促され、攻撃が実行されます。Moonlock Lab は、この手法が被害者を実行メカニズムにし、セキュリティ業界の防御策を回避することを指摘しています。一方で、ハッカーは Chrome 拡張機能 QuickLens をハイジャックしてマルウェアを拡散しています。この拡張機能は、ユーザーがブラウザ内で直接 Google Lens 検索を実行できるようにし、所有権が譲渡された後の新しいバージョンには悪意のあるスクリプトが含まれており、ClickFix 攻撃を開始して情報を盗むことができます。この拡張機能は約 7000 人のユーザーがいて、ハイジャックされた後は暗号ウォレットのデータやリカバリーフレーズを検索して資金を盗むほか、Gmail の受信箱の内容、YouTube チャンネルのデータ、ウェブフォームに入力されたログイン資格情報や支払い情報を取得します。この拡張機能は Chrome ウェブストアから削除されました。ClickFix 技術は昨年からハッカーの間で流行しており、被害者に悪意のあるペイロードを手動で実行させ、世界中の数千の企業や複数の業界に影響を与えています。

RWA トークン化プラットフォーム OpenEden は X プラットフォームで、公式ウェブサイトのドメインおよびそのサブドメインの DNS コントロールを全面的に回復したと発表し、プラットフォームの運営が正常に戻ったことを報告しました。OpenEden は、公式ウェブサイトが DNS レベルで未承認のレコード変更に遭遇し、ドメインがハイジャックされたことを示しています。セキュリティパートナーおよびインフラサービスプロバイダーとの共同調査の結果、今回の事件はどのスマートコントラクトにも影響を与えず、内部システムは侵害されておらず、コアアプリケーションは完全な状態を保っており、準備資産にも影響はなく、すべての準備資産は Chainlink の準備証明（Proof of Reserve）を通じて独立して検証可能であると述べ、ドメインおよびインフラのセキュリティ対策を強化することを約束しました。

据慢雾余弦披露，部分用户可能未收到 Monad 空投，建议检查此前在空投领取页面 claim.monad.xyz 绑定的钱包地址是否为预期地址。余弦表示，如果绑定地址并非用户预期，可能遭遇了与用户 Onefly（@Onefly）类似的问题------钱包地址被黑客绑定为黑客地址，导致官方将空投发放给了黑客。据余弦透露，此前有白帽黑客曾向其同步过一个相关漏洞，该漏洞存在前置条件：如果有人劫持了用户在 Monad 空投领取页面的会话，可以在无需进一步确认的情况下更改领取钱包地址。

据 Aerodrome の発表によると、この協定は以前に発生したドメインハイジャック攻撃に遭遇し、攻撃は4時間以内に完全に緩和され、ユーザーの損失は約70万ドルに達しました。報告によれば、最初の悪意のある取引が発見されてから2分以内に、MetaMaskやCoinbase Walletなどの主要なウォレットが警告を表示し始めました。損失は、悪意のあるウェブサイトが活動している間に接続し、取引に署名したユーザーに限定されています。現在、チームはセキュリティコンサルタントや企業登録業者と協力しており、ドメインは来週に移転し再開される予定です。さらに、AeroとVelo財団は、影響を受けたユーザーに損失に比例した補助金を提供する計画を策定しています。

Base エコシステム DEX Aerodrome は、X プラットフォームで公式に発表し、チームが潜在的な DNS ハイジャック事件を調査していることを示しています。ウェブサイトの主要ドメインを使用しないでください。現在、調査中です。

DeFi プロトコル Balancer は現在攻撃を受けており、複数のチェーンでの損失は 1.166 億ドルを超え、Balancer に対する攻撃は続いています。オンチェーン AI 分析ツール CoinBob によると、Balancer の歴年のセキュリティ事件は以下の通りです：2020 年 6 月 フラッシュローン攻撃：攻撃者はデフレ型トークン（STA/STONK）と Balancer スマートコントラクトの互換性の問題を利用し、swapExactAmountIn を繰り返し呼び出して流動性プールを空にし、最終的に 52.36 万ドルを獲得しました。2023 年 8 月 V2 プールの脆弱性：Balancer V2 プールはコードの脆弱性により複数回のフラッシュローン攻撃を受け、総損失は 210 万ドルに達しました。チームは影響を受けたプールを緊急停止し、ユーザーに資金の引き出しを推奨しましたが、一部の資金はタイムリーに引き出されず、依然として利用されました。2023 年 9 月 フロントエンドハイジャック攻撃：ハッカーは BGP/DNS ハイジャックを通じて Balancer のフロントエンドを制御し、ユーザーに悪意のあるコントラクトを承認させ、23.8 万ドルの損失を引き起こしました。オンチェーン探偵 ZachXBT は資金の流れをアドレス 0x645710Af050E26bB96e295bdfB75B4a878088d7E に追跡しました。2023 年 Euler イベントの影響：Euler Finance の脆弱性により Balancer の bbeUSD プールが 1190 万ドルの損失を被り、プールの TVL の 65% を占めました。チームは流動性の引き出しを制限する保護措置を講じました。2024 年 Velocore 攻撃の関連：Velocore の脆弱性を利用した Balancer スタイルの CPMM プールに関連し、680 万ドルの損失を引き起こしました。Balancer の技術アーキテクチャはクロスプロトコル統合により間接的に巻き込まれました。

ChainCatcher のメッセージ、暗号通貨開発者 Zak Cole が明らかにしたところによると、新しいフィッシング攻撃が暗号コミュニティのメンバーの X（旧 Twitter）アカウントを標的にしています。この攻撃は、Google Calendar アプリの承認要求を装い、ユーザーに完全なアカウント制御権限を付与させるものです。攻撃者は X プラットフォームのアプリ承認メカニズムを利用し、パスワードや二要素認証を完全に回避することができます。MetaMask のセキュリティ研究者は、この攻撃が実際に発生していることを確認しました。ユーザーには、X の接続されたアプリページにアクセスし、アカウントの安全を確保するために疑わしい「Calendar」アプリの承認を確認し、取り消すことをお勧めします。

ChainCatcher のメッセージによると、Scam Sniffer が明らかにしたところによれば、Kiloex プロジェクトの Discord 招待リンク discord.gg/kiloex は期限切れで、詐欺師によって悪意を持って乗っ取られています。現在、Coingecko と CoinMarketCap に掲載されているプロジェクトの情報は、依然として乗っ取られた招待アドレスにリンクされています。また、Kiloex の過去のツイートにもこの悪意のあるリンクが含まれています。報告によれば、すでにユーザーがこのために資産を失っているとのことです。攻撃者はフィッシング署名を通じてユーザーの資産を盗み、偽の「Collab Land」ボットを利用して詐欺を実行しています。Kiloex の他にも、Verisense Network などの複数のプロジェクトの Discord 招待リンクも同様の攻撃を受けています。詐欺師は、期限切れのカスタム招待リンクを体系的に占有し、プロジェクトの文書、ウェブサイト、過去のツイートにある古いリンクを攻撃ツールに変換しています。

ChainCatcher のメッセージによると、Decrypt が報じたところでは、アメリカのネブラスカ州の男性チャールズ・O・パークス III（ネット名「CP3O」）が、350 万ドルの違法な「暗号ハイジャック」計画を企てたとして、1 年と 1 日の懲役刑を言い渡されました。彼はクラウドコンピューティングリソースを盗んで違法にマイニングを行い、約 100 万ドルの利益を上げ、その資金で高級品を購入しました。パークスは 50 万ドルの罰金とメルセデス・ベンツを支払っており、賠償金は未定です。彼は教育プラットフォームに偽装してクラウドサービスプロバイダーから計算リソースを騙し取り、イーサリアム、ライトコイン、モネロをマイニングし、取引所や銀行を通じてマネーロンダリングを行っていたとされています。

ChainCatcher のメッセージによると、Cointelegraph が報じたところでは、ウクライナの警察は最近、35歳の男性を逮捕し、大規模な暗号ハッキング活動を行ったとして告発しました。警察の声明によると、この男性は2018年から国際ホスティング会社の5000以上の顧客アカウントに侵入し、無断でそのサーバーリソースを使用して暗号通貨のマイニングを行い、会社に約440万ドルの損失を与えました。警察は容疑者の住居の捜索中に複数のコンピュータ機器、携帯電話、銀行カード、暗号財布、ハッキングソフトウェアを発見しました。現在、容疑者は無断で電子情報ネットワークの操作を妨害したとして告発されており、最高で15年の懲役刑が科される可能性があります。事件の調査はまだ進行中です。

ChainCatcher のメッセージ、Curve が DNS ハイジャックに関する最新の進展を発表しました：レジストラは curve[.]fi を正常に凍結しました（このドメインは現在使用できず、フィッシング攻撃は停止しました）。ユーザーは以下のドメインにアクセスできます：curve.finance。

ChainCatcher のメッセージ、SlowMist の創設者である余弦が投稿し、Curve の現在の DNS ハイジャック問題は未解決であり、背後の攻撃者は偽のウォレットポップアップを通じてリカバリーフレーズをフィッシングしており、攻撃手法はさらに巧妙になっていると述べています。今回の問題は再びドメインサービスプロバイダー iwantmyname に向けられており、このサービスプロバイダーは 2022 年にも類似の事件を引き起こしています。

ChainCatcher のメッセージによると、Cointelegraph が報じたところによれば、DeFi プロトコル Curve Finance が緊急警告を発表しました。公式ウェブサイト curve.fi が DNS ハイジャック攻撃を受け、ユーザーがアクセスすると悪意のあるフィッシングサイトに誘導される可能性があります。これは、5 月 5 日に公式 X アカウントがハッキングされた後、1 週間以内にこのプラットフォームが受けた二度目のセキュリティ脅威です。ブロックチェーンセキュリティ会社 Blockaid の検出によると、攻撃者は DNS 解決記録を改ざんすることによってフロントエンド攻撃を実施した可能性があり、ユーザーにはすべての取引署名操作を直ちに停止することを推奨しています。現在、Curve チームはドメイン登録業者に緊急対応を依頼しており、スマートコントラクトには影響がないことを確認していますが、ユーザーにはプラットフォームとのインタラクションにおいて資産が盗まれるリスクが依然として存在することを警告しています。

ChainCatcher のメッセージによると、Bitcoin.com の報道では、フロリダ州ピネラス郡の犯罪者が偽のセキュリティソフトウェア McAfee のポップアップを利用して、無許可で個人のコンピュータにリモートアクセスし、地元住民を欺いているとのことです。一度制御を取得すると、詐欺師は被害者にビットコインのATMを通じて送金させたり、金の延べ棒を購入させたり、大量の現金を引き出させたりし、その後、宅配業者がそれを持ち去ります。最近の事件では、経済的損失が53万ドルを超えました。ピネラス郡保安官事務所は、住民に対してオンラインや電話で敏感な情報を開示しないよう警告し、疑わしいやり取りを報告するよう促しています。保安官事務所の職員は警戒を怠らないよう強調し、「市民には電話やコンピュータを通じて個人情報やアカウント情報を開示しないことをお勧めします。」と述べています。

ChainCatcher のメッセージによると、Bitcoin.com が報じたところでは、隠れた悪意のあるソフトウェア活動が Github 上の偽のオープンソースプロジェクトに悪意のあるコードを埋め込むことで暗号ウォレットをハイジャックし、開発者に隠されたペイロードを実行させるよう誘導しています。Gitvenom と呼ばれるサイバー攻撃活動は、悪意のあるコードを一見合法的なオープンソースプロジェクトに埋め込むことで Github ユーザーを攻撃し続けています。研究者の Georgy Kucherin と Joao Godinho は、この活動を発見しました。サイバー犯罪者は、実際のソフトウェアツールを模倣した詐欺的なリポジトリを作成します。偽のプロジェクトで使用されるプログラミング言語に応じて、悪意のあるコードの埋め込み方も異なります。

ChainCatcher のメッセージ、Scroll チェーン上の DEX Ambient が X プラットフォームで発表し、最近ドメインハイジャックによるフィッシング攻撃を受けたすべての被害者に対して全額賠償を行ったことを明らかにしました。支払いはすべて ETH で行われ、これらのアドレスにトークンを送信する安全な方法がないため、ユーザーには資産を新しいウォレットに移動することを推奨しています。ChainCatcher 以前の報道によると、Scroll チェーン上の DEX プロトコル Ambient Finance は X プラットフォームで、ドメインがハイジャックされたことを発表し、現在禁止チームおよびドメイン登録業者と協力して問題を早急に解決しようとしています。現在、契約は完全に安全で、資金も安全です。しかし、別途通知があるまで、Ambient Finance のフロントエンドとのインタラクションは行わないでください。