契約の脆弱性

PeckShieldによると、3月には20件の主要な暗号ハッキングおよび脆弱性事件が発生し、約5200万ドルの損失が出ました。これは2月の2650万ドルから約96%の増加です。その中で、Resolv Labsは攻撃を受け、2500万ドル以上のUSDTペッグのステーブルコインUSRTを失いました。攻撃者はそのUSR発行契約の脆弱性を利用して、約8000万枚の無担保ステーブルコインを追加で発行し、USRの価格は約80%暴落し、Morpho Blue、Euler、FluidなどのDeFiプロトコルにおいてシステミックな不良債権が形成されました。さらに、Xユーザーの"Sillytuna"は、約2400万ドルのAaveイーサリアムUSDC（aEthUSDC）が、誘拐と暴力の脅威を伴うオフライン攻撃で盗まれたと述べています。攻撃者はその後、ビットコイン、モネロ、及び複数のLayer 2ネットワークを通じて資金を分散して移転しました。

BlockSecによるInverse Financeの攻撃疑惑に関する報告BlockSecは、Inverse Financeが約24万ドルの資金を失った疑いがあると監視しています。YAM FinanceはXプラットフォームでこの事件についての見解を発表し、今回の事件はInverseの契約の脆弱性によるものではなく、LlamaLendのメカニズムに関連していると述べました。彼らの説明によると、攻撃者はLlamaLend上でsDOLAに対して「寄付攻撃」を仕掛け、価格を約1.188 sDOLA = 1 DOLAから約1.358 sDOLA = 1 DOLAに引き上げ、その後sDOLAを担保にしてcrvUSDを借り入れたユーザーのポジションをほぼすべて清算しました。担保の価値が上昇したにもかかわらず清算が発生した理由はまだ完全には解明されておらず、通常であればユーザーを清算ラインから遠ざけるはずの状況です。注目すべきは、今回の価格異常の「二次効果」が依然として続いているため、LlamaLendでレバレッジ取引を行わず、sDOLAのみを保有しているユーザーの帳簿上の利益が約14%向上していることです。さらに、現在DOLAは二次市場での取引価格がペッグ値より約1%のディスカウントが存在しており、一部のコミュニティメンバーは借入ユーザーに対してディスカウント段階でDOLAの債務を返済することを検討するよう提案しています。

市場の情報によると、数時間前にイーサリアム、Arbitrum、Base、BSCに展開された被害契約に対する一連の疑わしい取引が発見されました。これらの取引は、2名の作成者が展開した契約が攻撃を受け、総損失は1700万ドルを超えています。被害契約はオープンソースではなく、任意呼び出し機能の脆弱性が存在するようです。攻撃者は既存のトークンの承認を悪用し、transferFrom操作を実行して資産を盗みました。影響を受けた展開者：0xbeef63AE5a2102506e8a352a5bB32aA8B30B3112------損失約367万ドル；0x9cb8d9BaE84830b7F5F11ee5048c04a80b8514BA------損失約1,341万ドル。

慢雾は X プラットフォームで、MistEye が Fusion に関連する潜在的な疑わしい活動を検出したと発表しました。根本的な原因は、プロジェクトチームが EIP-7702 によって制御される EOA アカウントを通じて委託した基盤コントラクトに脆弱性が存在し、この脆弱性により任意の外部呼び出しが可能になり、攻撃者が PlasmaVault の悪意のあるブレークコントラクトを作成および構成できるため、コントラクトから資金を引き出すことができるということです。

根据慢雾区块链不完全统计，全年共发生安全事件 200 起，造成损失约 29.35 亿美元。相比 2024 年（410 起，损失约 20.13 亿美元），尽管事件数量明显下降，但损失金额却同比上升约 46%。从生态分布来看，Ethereum 仍然是受攻击最为频繁、损失最为严重的生态，全年损失约 2.54 亿美元，占比显著领先；BSC 紧随其后，相关损失约为 2193 万美元；Solana 则位列第三，全年损失约 1745 万美元。按项目赛道划分，DeFi 项目是最常遭攻击的领域：2025 年共发生 126 起安全事件，占全年总数约 63%，造成损失约 6.49 亿美元，相较 2024 年（339 起，损失 10.29 亿美元）下降约 37%。交易平台事件仅 12 起，却造成高达 18.09 亿美元损失，其中 Bybit 单次即损失约 14.6 亿美元，是全年最严重事件。从事件的攻击原因来看，合约漏洞是主要诱因，共 61 起；X 账号被黑紧随其后，共 48 起。报告指出，随着生成式 AI 在过去两年加速普及，攻击者也开始将其纳入诈骗与攻击链条。与传统工具相比，AI 在文本、语音合成、图像与视频生成上的能力显著降低了诈骗成本，攻击不再依赖粗糙的话术或明显异常的行为，而是通过高度拟真的内容、连贯的交互和精确的对象选择，使受害者在心理层面更难察觉风险。

ChainCatcher のメッセージによると、暗号分析家 Ai 姨 @ai_9684 xtpa が監視したところ、アドレス 0xf3d...58db2 が2時間前に悪意を持って 50 億枚の GAIN を増発し、迅速に売却したため、コイン価格が 95% の急落を引き起こし、累計で約 301 万ドルを現金化したとのことです。このアドレスは 11 時間前に作成され、資金は 13 時間前に Tornado から受け取った ETH を Symbiosis で BNB にクロスチェーン交換したものです。ハッカーは 7:04 に増発後 22 分で売却を開始し、約 55 分間続けました。現在、deBridge を通じて利益を Solana、Ethereum、Base、Arbitrum などのネットワークにクロスチェーンしています。分析によれば、今回の操作はプロジェクト側の行動ではなく、契約の脆弱性を利用したものに見えるため、具体的な状況は公式の発表で確認される必要があります。

ChainCatcher のメッセージ、Arbitrum エコシステムのモジュラー取引プラットフォーム Kinto の共同創設者 Ramon Recuero が昨日の攻撃事件に対する投稿を行いました。ハッカーは Arbitrum 上の無限に鋳造できる K トークンの脆弱性を利用し、11 万枚の K を鋳造して攻撃を仕掛け、Morpho Vault と Uniswap v4 の流動性プールを枯渇させようとしました。この事件により、約 155 万ドルの ETH と USDC の損失が発生し、K トークンの価格が激しく変動しました。現在、Kinto チームは関連する関係者と協力して盗まれた資金を追跡しています。公式は、資産が回収できた場合や補償資金が調達できた場合、7 月 31 日までに攻撃前のスナップショットに基づいてユーザーの K トークン残高を復元し、攻撃前の価格に基づいて CEX での取引を再開すると述べています。

ChainCatcher のメッセージによると、Base エコシステムゲームプロジェクト Henlo Kart は「すべての HENLO 保有者と LP ポジションのスナップショットを取得しました。HENLO コントラクトに脆弱性が見つかりました。チームは解決策を模索しています。Henlo はすべてのチームトークンの LP を撤回しました。現在の LP ポジションから削除されたすべての流動性は、新しい LP ポジションに再預け入れされます。」と述べています。Henlo Kart トークン HENLO は過去 24 時間で 96% 以上下落し、時価総額は現在 10.6 万ドルと報告されています。HENLO の時価総額は 1 月 14 日に 9200 万ドルに達していました。

ChainCatcher のメッセージ、1inch チームは旧版 Fusion v1 パーサーのスマートコントラクトに脆弱性が存在することを発見しました。SlowMist セキュリティチームの分析によると、今回の事件で約 240 万 USDC と 1276 WETH の損失が発生し、合計で 500 万ドルを超えています。公式に確認されたところによると、今回の脆弱性はエンドユーザーの資金には影響を与えず、損害を受けたのは Fusion v1 を使用しているパーサーコントラクトのみです。1inch は現在、対策を講じており、セキュリティ状況を引き続き監視しています。

ChainCatcher のメッセージ、SlowMist が安全警報を発表し、3 月 5 日に 1inch に関連する疑わしい取引を検出し、損失額は約 100 万ドルであると述べています。以前のメッセージ、1inch はそのチームが 3 月 5 日に古い Fusion v1 実装のパーサーのスマートコントラクトにおける脆弱性を発見したことを明らかにしました。

ChainCatcher メッセージ、イーサリアム共同創設者 Vitalik Buterin が Bountycaster にて「サブリニアステーキング契約（Sublinear Staking Contract）の脆弱性バウンティ」を発表しました。賞金総額は 2 ETH で、契約内のいかなるエラー / 脆弱性を特定し、具体的な修正提案を行うことを目的としています。複数の問題が発見された場合、賞金は深刻度に応じて配分されます。具体的な要件は、発表されたサブリニアステーキング契約において、ユーザーがホワイトリストに登録されている場合（ERC1155 コレクションとして指定）、N 個のコインをステーキングでき、各スロットで N ** 0.75 個のコインのリターンを得ることができます。契約が支払いに必要なトークンを持っている限り、これが可能です。資金が尽きた場合でも、fundedUntil メカニズムにより、各ステーキング者は fundedUntil タイムスタンプ以前の各期間に報酬を受け取ることが保証されており、このメカニズムは部分準備金にはなりません。

ChainCatcher のメッセージ、クロスチェーン相互運用性プロトコル LayerZero の CEO ブライアン・ペレグリーノがソーシャルメディアで Across Protocol チームに宛てて次のように述べています。「あなたたちのトークン契約には重要な問題があります。内部のプライベート関数であるべき機能が誤って公開されており、この機能は Open Zeppelin がその ERC20 トークン実装で記述したもので、トークンを破棄することを目的としています。そして、これにより契約の所有者に与えられています------これにより、あなたたちはいつでもどのウォレットからでもトークンを引き出すことができ、任意のアカウントの残高を 0 にすることができます。さらに、あなたたちの Across Protocol と UMA Protocol の契約には無限の鋳造能力がありますが、私はこの二つの問題について通知しましたが、あなたたちは気にしていないようです。この問題を解決するためにトークンを再発行する必要はありません：契約の所有権を新しいスマートコントラクトに移転し、鋳造量が総供給量を超えないようにし、破棄を許可しないようにします。これは永久的な脆弱性であるため、新しい契約は不変でなければならず、所有権を移転する機能を含めてはいけません。もし活発な脆弱性報奨プログラムがあるなら、この情報を LayerZero チームに帰属させることができます。」

ChainCatcher のメッセージによると、Coin98 Analytics の統計によれば、最近記録された前 15 件の暗号攻撃事件は合計で約 3.13 億ドルの損失をもたらしました。そのうち、9 件の攻撃は契約の脆弱性によるもので、残りはマルウェア、フラッシュローン攻撃、または未知の攻撃手法によるものです。

ChainCatcher のメッセージによると、CertiK Alert の監視により、8 月の暗号分野では脆弱性、ハッキング、詐欺により約 3.006 億ドルの損失が発生し、そのうち約 1030 万ドルが回収されました。これは 2024 年の時点での単月損失としては二番目に高いものです。その内訳は：退出詐欺（Exit Scam）：約 80 万ドルフラッシュローン：約 120 万ドルコントラクトの脆弱性攻撃：約 3.088 億ドル

ChainCatcher のメッセージ、Nexera は発表し、チームが NXRA トークンを含むスマートコントラクトの脆弱性を調査していることを伝えています。調査結果はまだ最終的に確定していませんが、いくつかの情報を共有できます：NXRA トークンのコントラクトは一時停止され、DEX の取引は停止しました。私たちは CEX と協力して取引を停止しています；全員に取引を停止することをお勧めします。現在、脆弱性の調査を続けており、できるだけ早くフォローアップの措置を講じます。この問題を最優先で解決します。以前のニュースによると、Cyvers Alerts システムの監視により、オンチェーンオーダーブックプロトコル Nexera の代理コントラクトに疑わしい取引が存在することが確認されました。あるアドレスが代理コントラクトの所有権を取得し、アップグレードを行いました。その後、当該アドレスは出金管理機能を使用してすべての NXRA トークンを移転しました。現在、そのアドレスはすべてのトークンを ETH に交換するために販売しており、一部の資金は BNB チェーンにブリッジされています。総推定損失は約 150 万ドルです。

ChainCatcher のメッセージによると、Cyvers Alerts の監視により、Blast エコシステムプロジェクト Bloom に契約の脆弱性が発生し、総損失は 60 万ドルに達しました。攻撃者はすべての盗まれた資金を ETH ネットワークに移転しました。

ChainCatcher のメッセージによると、DL News の報道に基づき、パブリックチェーンプロジェクト Harmony のエコシステム参加者である Aaron Li が報告したところによると、昨年 12 月、Harmony はステーキング契約に脆弱性があったため、一部のステーキングユーザーが 1.5 億枚の ONE トークンを過剰に受け取り、その価値は約 220 万ドルに相当します。Aaron Li は、Harmony チームが報告が公開されてから 5 日間、この脆弱性に対して正面からの対応をしなかったと非難し、その結果問題が拡大し続けたと述べています。最終的に、Aaron Li はこの問題を自ら調査することを決定し、12 月 12 日に一時的な解決策を見つけました。一方、Harmony のソフトウェアエンジニアである Casey Gardiner は、Aaron Li が「脆弱性を適時に報告しなかった」と非難し、脆弱性の期間中に ONE トークンを売却したと主張しています。

ChainCatcher のメッセージ、Web3 開発者プラットフォーム Thirdweb は、ソーシャルメディアで発表し、北京時間 11 月 21 日 10:00 に Web3 業界で一般的に使用されるオープンソースライブラリにセキュリティ脆弱性が存在することを発見しました。これは、Web3 エコシステム内のさまざまなスマートコントラクトに影響を及ぼし、Thirdweb のいくつかのプリビルドスマートコントラクトも含まれます。これまでの調査によると、この脆弱性はまだどの ThirdWeb スマートコントラクトでも悪用されていません。しかし、スマートコントラクトの所有者は、北京時間 11 月 23 日 11:00 までに ThirdWeb 上で作成された特定のプリビルドコントラクトに対して緩和策を講じる必要があります。影響を受けるプリビルドコントラクトには、DropERC20、ERC721、ERC1155（すべてのバージョン）、および AirdropERC20 が含まれますが、これに限りません。

ChainCatcher のメッセージによると、Arbitrum エコシステムの DEX GMBL.COMPUTER は X プラットフォームで本日の署名鍵漏洩事件の経緯を説明し、誰かが「呼び出し」を偽造し、サーバーから署名を取得し、その署名を契約に渡して、契約から約 500 ETH（現在の価格で約 81.5 万ドル）の GMBL を引き出したと述べています。GMBL.COMPUTER は、これは契約の脆弱性ではなく、現在チームは問題の根源を特定したと述べています。鍵の漏洩はオフチェーンで発生した行為であり、チームは攻撃者のすべての情報を把握しており、資金の回収を開始する予定です。彼らは脆弱性報奨金を提供し、資金が返還されれば法的措置は取らないとしています。