BTC $63,796.08 -0.52%
ETH $1,795.14 -0.05%
BNB $571.40 -0.58%
XRP $1.09 -1.27%
SOL $76.20 -2.02%
TRX $0.3294 -0.09%
DOGE $0.0729 -1.89%
ADA $0.1634 -1.99%
BCH $243.45 -0.57%
LINK $7.96 -0.38%
HYPE $67.03 +0.90%
AAVE $98.56 +3.97%
SUI $0.7289 -2.38%
XLM $0.1863 -2.15%
ZEC $513.52 +2.62%
BTC $63,796.08 -0.52%
ETH $1,795.14 -0.05%
BNB $571.40 -0.58%
XRP $1.09 -1.27%
SOL $76.20 -2.02%
TRX $0.3294 -0.09%
DOGE $0.0729 -1.89%
ADA $0.1634 -1.99%
BCH $243.45 -0.57%
LINK $7.96 -0.38%
HYPE $67.03 +0.90%
AAVE $98.56 +3.97%
SUI $0.7289 -2.38%
XLM $0.1863 -2.15%
ZEC $513.52 +2.62%

ホワイトハットハッカー

すべて
記事
速報

Aptosブロックチェーンに重要な脆弱性が存在していたことが明らかになり、700億ドルの資産がシステミックリスクに直面していた。

CoinDesk の報道によると、ブロックチェーンセキュリティ会社 Hexens の研究者が Aptos ブロックチェーンの Move 仮想マシンに「期限切れキャッシュ」タイプの混乱脆弱性を発見しました。攻撃者は約 3000 ドルのサーバーコストで、シミュレーション環境で約 90% の成功率で攻撃を開始でき、バリデーターの権限や内部知識は必要ありません。研究者はシミュレーションテストで約 20 回の攻撃を実行し、成功率は 17-18 回であり、LayerZero、Wormhole、USDC CCTP などのクロスチェーンプロトコルの管理権限に対する潜在的な制御能力を検証しました。Hexens は、この脆弱性が Aptos チェーン上の DeFi、ステーブルコイン、流動的なステーキングなどのプロトコルに直接的な脅威を与え、数十億ドル規模の資産に関与していると評価しています。もしクロスチェーンブリッジ、ステーブルコインの発行、中央集権的取引所などを通じて拡散すれば、システミックリスクのエクスポージャーは最大 700 億ドルに達する可能性があります。Aptos チームは 2 月 25 日に脆弱性報告を受け取った後、数時間以内に修正を完了し、メインネットにデプロイしました。現在、ユーザーの資金は損なわれていません。

ホワイトハットハッカーが2016年のトークンセールのスマートコントラクトにロックされた約10年間の200万ドルのETHを復元するのを手助けしました。

あるハッカーが日曜日にXで「0xflorent」という名前で発言し、2016年のHong Coin(HONG)トークンセールの不具合のあるスマートコントラクトから約1,003枚のETH(約200万ドル相当)を回収したと述べ、48名の投資家が関与していることを明らかにしました。Hong Coinは当初、コミュニティ運営の分散型ベンチャーファンドとして設計され、トークンセールは2016年8月29日に開始され、同年10月28日に終了しましたが、資金調達目標に達しなかったため、上場には至りませんでした。契約は本来、投資家に自動的に返金されるはずでしたが、返金関数のバグにより資金が約10年間ロックされてしまいました。0xflorentはHONGの創設者と協力し、整数オーバーフローの脆弱性を持つ管理者関数を利用して、特定の入力を通じてトークン保有者の残高をリセットし、返金メカニズムをトリガーすることで、ロックされた資金を成功裏に引き出しました。Etherscanのデータによると、すでに1名の投資家が96枚のETH(約192,500ドル)を返金されています。以前、0xflorentは5月24日に別の2018年の失敗したトークンセールプロジェクトから19.33枚のETHを回収していました。

ホワイトハットハッカーが2016年のICO契約にロックされた200万ドルのETHを取り戻す手助けをした

The Blockによると、フロランという名前の開発者がホワイトハットハッキング技術を使って、2016年のHongCoin ICO契約に9年間閉じ込められていた約1003枚のETH(約200万ドル相当)を救出しました。このICOは資金調達目標に達しなかったため自動的に返金されるはずでしたが、コーディングエラーにより資金がロックされてしまいました。契約は古いバージョンのSolidity言語を使用しており、オーバーフロー保護機能が欠如していました。フロランは、チームの管理者関数を呼び出し、特定の数値を入力することで、保有者の残高を1にリセットし、返金チェックを通じてETHを解放できることを発見しました。この管理者関数はHongCoinのマルチシグアドレスに制限されており、フロランはチームに連絡し、テストネットでプロセスを検証した後、チームが自らロック解除取引に署名しました。全体のプロセスは約1週間かかり、チームは41件の取引に署名し、約1000枚のETHをカバーしました。現在、2人の投資家が96.5枚のETHを受け取り、フロランにホワイトハット報酬を自発的に支払いました。フロランは、その動機は好奇心と古い契約の仕組みを理解することだと述べています。

暗号犯罪研究組織 Security Alliance が潜在的なフィッシングサイトを通報する新しい方法を発表しました。

ChainCatcher のメッセージによると、The Block の報道で、暗号犯罪調査部門「Security Alliance」(略称 SEAL)が、ますます複雑な手段を用いてハッカーの足跡を隠す潜在的なフィッシングサイトを通報するための新しい方法を発表しました。SEAL は、従来の自動スキャン URL が、キャプチャやボット対策などのウェブクローラーの一般的な問題に直面することを指摘し、詐欺師には「偽装」機能があり、疑わしいスキャナーに無害なコンテンツを提供するため、ユーザーが見ているコンテンツを確認できる方法が必要だと述べています。新しい「検証可能なフィッシング通報器」は「TLS 証明」という新しい暗号化スキームを採用し、ホワイトハットハッカーが潜在的な被害者が見るウェブサイトの形式で確認できるようにしています。SEAL は、トランスポート層のセキュリティ自体がセッション記録を生成することをサポートしていないため、第三者が虚偽の内容を報告する機会を与えていると指摘しています。ユーザーはこのプログラムを通じて証明を提出でき、SEAL は内容が適切に署名され、悪意のある活動の証拠が含まれていることを確認します。この機能は約1ヶ月間のプライベートテストを経て、現在一般に公開されています。

ロニン:攻撃者が1200万ドルの暗号資産を抽出し、ホワイトハットハッカーと交渉中

ChainCatcher のメッセージによると、Ronin はソーシャルプラットフォームで、今日の早い時間にホワイトハットが Ronin ブリッジに脆弱性が存在する可能性があると通知したと発表しました。報告を確認した後、最初のチェーン上の操作が発見された約 40 分後に、そのブリッジは一時停止しました。攻撃者は約 4000 ETH と 200 万 USDC を引き出し、これは約 1200 万ドルの価値があり、単一の取引でブリッジから引き出せる最大の ETH と USDC の金額です。ブリッジの制限は、大口資金の引き出しの安全性を高める重要な保障であり、この脆弱性によるさらなる損害を効果的に防ぎました。Ronin は、ブリッジのアップグレードがガバナンスプロセスを経て展開された後に問題を引き起こし、クロスチェーンブリッジが資金を引き出すために必要なブリッジオペレーターの投票閾値を誤解したと述べています。現在、根本原因の解決策を見つけるために努力しており、ブリッジの更新は厳格な審査を受け、その後ブリッジオペレーターの投票によって展開するかどうかが決定されます。現在、ホワイトハットハッカーのように見える行為者との交渉を行っており、彼らは善意の応答を示しています。交渉の結果に関わらず、すべてのユーザー資金は安全であり、短缺資金はブリッジが再開された際に再度預け入れられます。来週には、技術的な詳細と将来の類似事件を防ぐための計画措置を紹介する事後分析結果を共有する予定です。
app_icon
ChainCatcher Building the Web3 world with innovations.