悪用

市場の情報によると、攻撃者は欠陥のある EIP-7702 アカウントを利用して、QNT 備蓄プールから 1,988.5 QNT（約 54.93 ETH）を盗みました。根本的な原因は、備蓄プールの管理者 EOA が EIP-7702 を通じてコードを BatchExecutor コントラクトに委託し、そのコントラクトが権限のない BatchCall コントラクトを承認された呼び出し元として設定したことです。BatchCall.batch() 関数には権限検証が設定されていないため、任意の外部呼び出し者が呼び出すことができ、最終的に備蓄プールの資産が枯渇する結果となりました。

去中心化予測市場プラットフォーム Polymarket がハッキングされた疑いがあり、脅威行為者 xorcat が有名なネット犯罪フォーラムに30万件以上のデータ記録と関連する脆弱性利用ツールキットを公開しました。攻撃者は、未公開のAPIエンドポイント、ページングバイパス、Polymarket GammaとCLOB APIのCORS設定ミスを通じてデータを抽出したとされています。漏洩した内容には、1万件のユーザーの完全な個人情報（名前、代理ウォレット、基本アドレスを含む）、4111件のコメント、1000件の通報記録（58のETHアドレスと管理者認証アドレス識別を含む）、48536件のGamma市場のメタデータ、25万件以上のアクティブCLOB市場の固定積算マーケットメイカーアドレス、そして9000件のフォロワーのソーシャルグラフデータが含まれています。ツールキットには、複数の脆弱性の概念実証コードが含まれており、CVE-2025-62718（Axios NO_PROXYバイパス、CVSS 9.9、サーバーサイドリクエストフォージェリを引き起こす可能性）、CVE-2024-51479（Next.jsミドルウェア認証バイパス、CVSS 7.5）、およびCORS設定ミスなどが含まれています。さらに、ツールキットには自動化された継続的プルスクリプトと完全なレッドチームレポートも添付されています。

Anthropic は Claude の一部の使用シーンで認証メカニズムを導入し、悪用を防止し、使用ポリシーを実行し、法的義務を履行しています。このプロセスは Persona によってサポートされており、ユーザーは政府発行の写真付き身分証明書を提出する必要があり、リアルタイムのセルフィー認証を行う場合もあります。Anthropic は、認証データは身分確認のみに使用され、モデルのトレーニングには使用されず、マーケティングや広告にも使用されないと述べています。認証に失敗した場合、ユーザーはプロセス内で何度も再試行することができ、またはフォームを提出して人工的な支援を求めることができます。アカウントは、使用ポリシー、サービス条項の繰り返し違反、サポートされていない地域からの登録、または18歳未満の使用などの場合に、禁止される可能性があります。

派盾の監視によると、10億枚のDOTトークンがイーサリアムチェーン上で異常に増発され、売却されました。チェーン上のデータによると、約1時間前、攻撃者は管理者権限を改ざんし、契約の制御権を悪意のあるアドレスに移転させ、その後10億枚のDOTを増発し、即座に売却しました。その結果、コインの価格は1.22ドルからほぼゼロに暴落しました。現在、この事件はまだ続いており、ポルカドットの公式はまだ反応を発表していません。今回の攻撃の対象はイーサリアム上のブリッジ資産であり、ポルカドットのネイティブチェーンではありません。

カナダのナナイモに住む住民は、昨年末にリモート株式取引の仕事を促進するSMSを受け取った後、暗号通貨ATMを通じて約5000カナダドル（約3600米ドル）を預け入れ、詐欺に遭いました。今年の初め、この被害者はオンラインでRCMPの公告を装った情報を見つけ、詐欺の被害者に通報を促していました。フォームを提出した後、自称弁護士の人物から電話があり、被害者に関連する2つの暗号通貨アカウントが見つかり、約6万ドルのいわゆる利益を取り戻す手助けができると伝えられました。ナナイモRCMPのメディア関係官ゲイリー・オブライエンは、RCMPは発見された暗号通貨アカウントについて個人に連絡することはなく、損失資金を取り戻すために民間企業と協力することもなく、詐欺調査のためにいかなる形の支払いを要求することもないと述べました。ブロックチェーンセキュリティ会社BlockSecの共同創設者兼CEOアンディ・ジョウは、このような手法は「偽の回収サービス詐欺」と呼ばれ、体系的な特徴を持っていると述べました。詐欺師は通常、元の詐欺で収集された被害者の情報を把握しており、組織的な詐欺団体は以前に送金された被害者のリストを流通させ、これらの人々を二次詐欺の標的にします。法執行機関のブランドを偽装することが効果的である理由は、「権威バイアス」の心理メカニズムを利用しているからです。カナダの警察は2022年から暗号通貨の調査トレーニングを開始しています。

据链上侦探 ZachXBT 指控，加密货币交易平台 Axiom Exchange 多名员工自 2025 年初起利用内部工具访问控制漏洞，查看用户敏感信息并追踪私人钱包活动，涉嫌进行内幕交易。ZachXBT 特别指出员工 Broox Bauer 是涉事人员之一。Axiom 由 Mist 与 Cal 于 2024 年创立，2025年冬季完成 Y Combinator 孵化，成为该领域盈利能力最强的公司之一，迄今已创收超 3.9 亿美元。 ZachXBT 称收到举报后受聘调查该平台的不当行为指控。

Ethereumチェーン上のPloutusプロトコルの流動性プール（0xD060...945D2）がオラクルの設定ミスにより攻撃を受け、約39万ドルの損失が発生しました。分析によると、このプールはUSDCの価格を誤ってChainlinkのBTC/USDの価格に指し示しており、価格が大きく乖離しました。攻撃者はこの脆弱性を利用し、わずか8枚のUSDCを担保に187枚のETHを借り出しました。オンチェーンデータによると、攻撃取引は設定変更の確認後の次のブロックで発生しており、攻撃者はリアルタイムで監視し、迅速にパラメータの更新を利用した疑いがあります。

慢雾チームのセキュリティ研究者 23pds が研究者 Adam Chester の報告を転送し、Anthropic の Claude Code において特権昇格とコマンド実行の脆弱性が発見されたことを報告しました。攻撃者はユーザーの承認なしにコマンド実行を実現でき、脆弱性番号は CVE-2025-64755 で、関連する PoC は公開されています。この問題は、以前に Cursor ツールで公開された同様の脆弱性と類似していると指摘されています。23pds は、フィッシングハッカーが関連する脆弱性を利用して暗号ユーザーを攻撃していると述べています。

据 Decrypt の報道によると、オーストラリア連邦警察は、詐欺師がオーストラリアの国家サイバー犯罪報告システム ReportCyber を利用し、盗まれた個人情報を使って虚偽の報告を提出し、その後オーストラリア連邦警察の職員を装って被害者に電話をかけ、デジタル資産を盗むという警告を発しています。この詐欺は非常に巧妙で、犯罪者は合理的な方法で情報を確認し、緊急性を生み出すために迅速に行動します。彼らは不正にメールアドレスや電話番号などの情報を取得し、システムが第三者による報告を許可するルールを利用して信頼を得ようとします。被害者は「警察」からの電話を受け、暗号通貨のデータ漏洩事件に巻き込まれたと告げられ、公式のように見える参照番号を受け取り、詐欺師が提出した報告と一致するのを見て、ほぼ騙されそうになりました。その後、2人目の電話者がプラットフォームを装い、同じ番号を使って送金を誘導しましたが、幸いにも被害者はすぐに気づいて電話を切りました。警察は、類似の事件では詐欺師が番号を偽造することが多いと述べており、市民に警戒を呼びかけ、詐欺を見分け、自身の財産を守るよう注意を促しています。

公式の発表によると、Balancerは脆弱性攻撃事件の初期報告を発表し、Balancer V2のコンポーザブルステーブルプールが11月4日に複数のチェーン（Ethereum、Base、Avalanche、Polygon、Arbitrumなど）で攻撃を受けたことを示しています。脆弱性は、バルク交換におけるEXACT_OUT取引の四捨五入ロジックの誤りに起因しており、攻撃者はこのメカニズムを利用してプール内の残高を操作し、資産を引き出しました。この事件はBalancer V2のコンポーザブルステーブルプールにのみ影響を与え、Balancer V3および他のプールタイプには影響がありませんでした。Balancerチームはセキュリティパートナーおよびホワイトハットチームと迅速に行動し、Hypernativeによる自動停止、資産の凍結、SEALフレームワーク下でのホワイトハット介入などの措置を通じて、攻撃の拡大を抑制し、一部の資産を回収しました。その中で、StakeWiseは約73.5%の盗まれたosETHを回収し、BitFindingやBase MEVボットなどのチームも一部の資金回収を支援しました。現在、BalancerはSEAL、zeroShadowなどのセキュリティパートナーと共にクロスチェーントラッキングと資金回収を行っており、最終的な損失および回収データは完全な技術的振り返り報告書で発表される予定です。公式はユーザーに対し、Balancerの公式チャネルを通じて確認情報を取得するように警告しており、V3および非ステーブルプールの操作は引き続き安全であるとしています。

Gnosis は X プラットフォームで次のように発表しました："Balancer v2 の資金プールに影響を与える脆弱性の悪用事件に関する報告を受け取りました。現在、Gnosis は影響を受けた資金プールおよびアドレスの全範囲を特定するために全力を尽くしています。Gnosis チームはエコシステムのパートナーと調整を行っています。予防措置として、Gnosis は以下の行動を取っています：Monerium チームおよび Balancer チームと緊密に協力し、EURe/sDAI および GNO/osGNO の資金プールを凍結しました。ユーザーは引き続き UniV3 資金プールを通じて CoW Swap で取引を行うことができます。標準ブリッジを使用して Gnosis チェーンから資産をクロスチェーンで転送することは一時的に部分的に停止され、関連する取引は取り消されます。Gnosis は事態の進展を引き続き注意深く監視し、さらなる情報が得られ次第、迅速に更新を提供します。"

ChainCatcher のメッセージ、Sui エコシステムの収益プロトコル Typus Finance の公式がソーシャルプラットフォームで発表しました。約 2 時間前、TLP コントラクトがオラクルの権限検証の欠如による脆弱性を悪用されました。すべてのユーザーを保護するために、公式は直ちに Typus のすべてのスマートコントラクトの運用を停止しました。現在、Sui Foundation が提供する緊急技術サポートと連携して、全面的な調査を行っています。進展があれば、すぐに最新の状況をお知らせします。

ChainCatcher のメッセージ、最近高度に隠されたフィッシング攻撃が X プラットフォームのアプリケーション認証メカニズムを利用し、パスワードと二段階認証を回避し、複数の暗号分野の人物のアカウントがハッキングされました。攻撃者は Google カレンダーのリンクを装ったフィッシング情報を通じて、ユーザーに悪意のあるアプリ "Calendar" の認証を促し、実際には偽装文字を含み、全面的なアカウント制御権限を要求しています。セキュリティ専門家は、影響を受けたユーザーに対し、X の認証済みアプリページに早急にアクセスし、疑わしい "Calendar" アプリを削除してさらなる損失を防ぐことを推奨しています。

ChainCatcher のメッセージによると、公式の発表として、香港証券先物委員会は、違法な者が証券監視委員会の名を騙って詐欺行為を行っていることに対して、一般市民に警戒を呼びかけています。この機関は、詐欺師が一部の証券監視委員会の上級管理職や著名な株式評論家を装い、フィッシングメールや偽造文書などの手段で一般市民に接触していることを発見しました。これらの詐欺師には、規制執行部の執行董事である魏弘福氏（Christopher Wilson）を装って詐欺メールを送信し、返信メールの受取人のコンピュータシステムにマルウェアやランサムウェアをインストールしようとする者や、証券監視委員会の最高財務責任者である温志遥氏を装い、「資料確認手続き」という名目でフィッシングメールを送信し、受取人の連絡先情報を取得しようとする者が含まれています。ターゲットには、証券監視委員会のライセンスを持つ法人およびその従業員が含まれています。香港証券監視委員会は、上記のすべての情報および主張が虚偽であることを強調し、出所不明の通信を扱う際には必ず警戒を高めるよう一般市民に呼びかけています。

ChainCatcher のメッセージによると、The Block が報じたところによれば、"Fede's intern"という名前のアルゼンチンのブロックチェーン開発者が8月11日にトルコのイズミールで拘束されたと主張しています。トルコ内務省は、彼が他者に「イーサリアムの悪用」を助けたと非難しているとされており、具体的な非難の詳細はまだ明らかにされていません。この開発者は現在、法律チームの支援を受けており、彼のチームは基盤施設の開発のみを行っていると強調しています。報道によると、この開発者は投資機関のLambda Classおよびブロックチェーンソリューション会社のAlignedと関係があります。

ChainCatcher のメッセージによると、BeInCrypto が報じたところによれば、「Fede のインターン」と呼ばれるイーサリアム開発者が、他者にイーサリアムを「悪用」する手助けをした疑いで、トルコのイズミルで拘留されました。この開発者は X での投稿の中で、当局が彼にこの活動を助けたと非難していると述べています。「Fede のインターン」は不正行為を否定し、彼と彼のチームは「ただのインフラストラクチャーの構築者」であり、当局と協力する意向があると強調しました。「拘留」中、彼は断続的に最新情報を発信し、プライベートルームに移されたことや食事が提供されたことを報告しました。彼はまた、数時間以内にプライベートジェットでトルコを離れ、ヨーロッパに向かう手配をしていると主張しました。ヨーロッパに到着後、彼は弁護士チームと共に告発に対抗する予定です。

ChainCatcher のメッセージ、Lido が X プラットフォームでセキュリティ開示を発表：Lido CSM および検証者の引き出しに使用される免許不要の検証者契約に関連する脆弱性が報告され、修正されました。この脆弱性は悪用されず、CSM ノードオペレーターに影響はありませんでした。stETH 保有者にも影響はありませんでした。修正措置の一環として、オラクル緩和策（債券の破棄機能を無効化）と DAO 投票 190 号提案を通じて脆弱性の修正が実施されました。Lido は Lido×Immunefi プロジェクトを通じてこの問題を開示したホワイトハットハッカーに脆弱性報奨金を支払いました。

ChainCatcher のメッセージ、SlowMist の CISO @im23pds がツイートで ChromeV8 エンジンの脆弱性 CVE-2025-6554 を警告しています。この脆弱性により、攻撃者は巧妙に構築されたウェブページを通じて悪意のあるコードを実行することができます。現在、関連する PoC が公開されており、悪用されています。ユーザーはアップグレードに注意し、フィッシング攻撃による資産損失を避ける必要があります。

ChainCatcher のメッセージによると、公式の発表として、ハードウェアウォレットメーカーの Trezor がセキュリティ警告を発表し、攻撃者が公式サポートの返信を装ったフィッシングメールを送信するためにその連絡フォームを悪用していることが判明しました。ユーザーにウォレットのバックアップ情報を漏洩させることを目的としています。公式は、Trezor がユーザーのウォレットバックアップを要求することは決してないと強調しており、その情報は常にオフラインで秘密にしておくべきです。現在、この問題は抑制されていますが、セキュリティは継続的なプロセスであり、ユーザーに警戒を呼びかけています。

ChainCatcher のメッセージによると、ブルームバーグの報道では、Reddit がカリフォルニア州サンフランシスコ高等裁判所で AI 会社 Anthropic を提訴し、昨年 7 月以来 10 万回以上無許可で Reddit のコンテンツをスクレイピングし、AI モデルのトレーニングに使用したと主張しています。これはプラットフォームの規則に違反し、ユーザーデータのプライバシーを悪用しています。Reddit の最高法務責任者は、Anthropic とライセンス契約の交渉を試みたことがあると述べており、訴訟は彼らを再び交渉のテーブルに戻すための「最後の手段」であるとしています。