悪用

Cointelegraph の報道によると、Anthropic は Claude Mythos モデルの最初の公開バージョン Fable 5 をリリースしました。内蔵の安全バリアがあるにもかかわらず、暗号ユーザーはそれが悪意のある目的に使用される可能性を懸念しています。このモデルは以前に「システム上重要なソフトウェア」で 1 万件以上の高リスクの脆弱性が発見されています。Anthropic は、Fable 5 が一般的な用途に対して安全に準備されており、バリアがサイバーセキュリティなどの話題を他のモデルにリダイレクトすると述べています。Moonrock Capital の創設者 Simon Dedic は、Fable 5 を利用してスマートコントラクトの脆弱性を見つけるコストとスキルの要件が「基本的にゼロに近づく」と警告しました。監査されていないプロトコルは標的となり、既知の脆弱性が繰り返し悪用されることになります。彼はユーザーに対して、ウォレットの権限を取り消し、資産をプロトコルから移動し、新しいハードウェアウォレットに転送することを提案しました。Curve の共同創設者 Michael Egorov は、脅威が誇張されていると考えており、スマートコントラクトのコード量は数千行に過ぎず、人間と従来の AI は十分に推論できると述べています。真のリスクは操作の安全性とサプライチェーン攻撃にあるとしています。

DragonflyのパートナーであるHaseebは、最近修正されたZcashの脆弱性についてツイートで明確にしました。彼は、この脆弱性が修正される前に利用された場合（確率は非常に低いですが）、プライバシープールが偽のZECを鋳造する形で現れると述べました。攻撃者は迅速に売却する必要がありますが、市場では主に透明なZECが取引されているため、解読されていないプライバシーZECを主流の取引所で直接売却することはできません。したがって、損失は主にプライバシーZECを保有しているユーザーが負担し、透明なZECの保有者や価格発見にはほとんど影響を与えません。Haseebは、Zcashチームが次回のアップグレードで新しいターンスタイルメカニズムと全く新しいプライバシープールを導入し、プライバシープールが膨張していないことを検証することを強調しました。彼はまた、形式的検証技術に期待を寄せており、これは全業界のソフトウェアセキュリティを向上させるための重要な道であり、特にプライバシー協定にとって重要であると考えています。

Transit Financeの発表によると、このプロジェクトは最近安全事件が発生しました。その原因は、TRONに早期に展開され、2022年に廃止された旧版スマートコントラクトに歴史的な脆弱性が存在し、それが利用されたため、少数のユーザーに影響を与えました。チームは、問題を発見した後、緊急に調査、隔離、修正を完了したと述べており、5月12日にさらに監査と是正を行いました。現在使用されているコントラクトのバージョンは影響を受けておらず、安全に4年以上稼働しており、引き続き安全監査と監視を受けています。Transitは、影響を受けたユーザーには全額賠償が行われると述べており、具体的なプランは公式チャネルを通じて発表されるとしています。また、ユーザーに対して公式のメッセージを偽装したものに注意し、秘密鍵やリカバリーフレーズを漏らさないように警告しています。

市場の情報によると、攻撃者は欠陥のある EIP-7702 アカウントを利用して、QNT 備蓄プールから 1,988.5 QNT（約 54.93 ETH）を盗みました。根本的な原因は、備蓄プールの管理者 EOA が EIP-7702 を通じてコードを BatchExecutor コントラクトに委託し、そのコントラクトが権限のない BatchCall コントラクトを承認された呼び出し元として設定したことです。BatchCall.batch() 関数には権限検証が設定されていないため、任意の外部呼び出し者が呼び出すことができ、最終的に備蓄プールの資産が枯渇する結果となりました。

去中心化予測市場プラットフォーム Polymarket がハッキングされた疑いがあり、脅威行為者 xorcat が有名なネット犯罪フォーラムに30万件以上のデータ記録と関連する脆弱性利用ツールキットを公開しました。攻撃者は、未公開のAPIエンドポイント、ページングバイパス、Polymarket GammaとCLOB APIのCORS設定ミスを通じてデータを抽出したとされています。漏洩した内容には、1万件のユーザーの完全な個人情報（名前、代理ウォレット、基本アドレスを含む）、4111件のコメント、1000件の通報記録（58のETHアドレスと管理者認証アドレス識別を含む）、48536件のGamma市場のメタデータ、25万件以上のアクティブCLOB市場の固定積算マーケットメイカーアドレス、そして9000件のフォロワーのソーシャルグラフデータが含まれています。ツールキットには、複数の脆弱性の概念実証コードが含まれており、CVE-2025-62718（Axios NO_PROXYバイパス、CVSS 9.9、サーバーサイドリクエストフォージェリを引き起こす可能性）、CVE-2024-51479（Next.jsミドルウェア認証バイパス、CVSS 7.5）、およびCORS設定ミスなどが含まれています。さらに、ツールキットには自動化された継続的プルスクリプトと完全なレッドチームレポートも添付されています。

Anthropic は Claude の一部の使用シーンで認証メカニズムを導入し、悪用を防止し、使用ポリシーを実行し、法的義務を履行しています。このプロセスは Persona によってサポートされており、ユーザーは政府発行の写真付き身分証明書を提出する必要があり、リアルタイムのセルフィー認証を行う場合もあります。Anthropic は、認証データは身分確認のみに使用され、モデルのトレーニングには使用されず、マーケティングや広告にも使用されないと述べています。認証に失敗した場合、ユーザーはプロセス内で何度も再試行することができ、またはフォームを提出して人工的な支援を求めることができます。アカウントは、使用ポリシー、サービス条項の繰り返し違反、サポートされていない地域からの登録、または18歳未満の使用などの場合に、禁止される可能性があります。

派盾の監視によると、10億枚のDOTトークンがイーサリアムチェーン上で異常に増発され、売却されました。チェーン上のデータによると、約1時間前、攻撃者は管理者権限を改ざんし、契約の制御権を悪意のあるアドレスに移転させ、その後10億枚のDOTを増発し、即座に売却しました。その結果、コインの価格は1.22ドルからほぼゼロに暴落しました。現在、この事件はまだ続いており、ポルカドットの公式はまだ反応を発表していません。今回の攻撃の対象はイーサリアム上のブリッジ資産であり、ポルカドットのネイティブチェーンではありません。

カナダのナナイモに住む住民は、昨年末にリモート株式取引の仕事を促進するSMSを受け取った後、暗号通貨ATMを通じて約5000カナダドル（約3600米ドル）を預け入れ、詐欺に遭いました。今年の初め、この被害者はオンラインでRCMPの公告を装った情報を見つけ、詐欺の被害者に通報を促していました。フォームを提出した後、自称弁護士の人物から電話があり、被害者に関連する2つの暗号通貨アカウントが見つかり、約6万ドルのいわゆる利益を取り戻す手助けができると伝えられました。ナナイモRCMPのメディア関係官ゲイリー・オブライエンは、RCMPは発見された暗号通貨アカウントについて個人に連絡することはなく、損失資金を取り戻すために民間企業と協力することもなく、詐欺調査のためにいかなる形の支払いを要求することもないと述べました。ブロックチェーンセキュリティ会社BlockSecの共同創設者兼CEOアンディ・ジョウは、このような手法は「偽の回収サービス詐欺」と呼ばれ、体系的な特徴を持っていると述べました。詐欺師は通常、元の詐欺で収集された被害者の情報を把握しており、組織的な詐欺団体は以前に送金された被害者のリストを流通させ、これらの人々を二次詐欺の標的にします。法執行機関のブランドを偽装することが効果的である理由は、「権威バイアス」の心理メカニズムを利用しているからです。カナダの警察は2022年から暗号通貨の調査トレーニングを開始しています。

据链上侦探 ZachXBT 指控，加密货币交易平台 Axiom Exchange 多名员工自 2025 年初起利用内部工具访问控制漏洞，查看用户敏感信息并追踪私人钱包活动，涉嫌进行内幕交易。ZachXBT 特别指出员工 Broox Bauer 是涉事人员之一。Axiom 由 Mist 与 Cal 于 2024 年创立，2025年冬季完成 Y Combinator 孵化，成为该领域盈利能力最强的公司之一，迄今已创收超 3.9 亿美元。 ZachXBT 称收到举报后受聘调查该平台的不当行为指控。

慢雾チームのセキュリティ研究者 23pds が研究者 Adam Chester の報告を転送し、Anthropic の Claude Code において特権昇格とコマンド実行の脆弱性が発見されたことを報告しました。攻撃者はユーザーの承認なしにコマンド実行を実現でき、脆弱性番号は CVE-2025-64755 で、関連する PoC は公開されています。この問題は、以前に Cursor ツールで公開された同様の脆弱性と類似していると指摘されています。23pds は、フィッシングハッカーが関連する脆弱性を利用して暗号ユーザーを攻撃していると述べています。

据 Decrypt の報道によると、オーストラリア連邦警察は、詐欺師がオーストラリアの国家サイバー犯罪報告システム ReportCyber を利用し、盗まれた個人情報を使って虚偽の報告を提出し、その後オーストラリア連邦警察の職員を装って被害者に電話をかけ、デジタル資産を盗むという警告を発しています。この詐欺は非常に巧妙で、犯罪者は合理的な方法で情報を確認し、緊急性を生み出すために迅速に行動します。彼らは不正にメールアドレスや電話番号などの情報を取得し、システムが第三者による報告を許可するルールを利用して信頼を得ようとします。被害者は「警察」からの電話を受け、暗号通貨のデータ漏洩事件に巻き込まれたと告げられ、公式のように見える参照番号を受け取り、詐欺師が提出した報告と一致するのを見て、ほぼ騙されそうになりました。その後、2人目の電話者がプラットフォームを装い、同じ番号を使って送金を誘導しましたが、幸いにも被害者はすぐに気づいて電話を切りました。警察は、類似の事件では詐欺師が番号を偽造することが多いと述べており、市民に警戒を呼びかけ、詐欺を見分け、自身の財産を守るよう注意を促しています。

公式の発表によると、Balancerは脆弱性攻撃事件の初期報告を発表し、Balancer V2のコンポーザブルステーブルプールが11月4日に複数のチェーン（Ethereum、Base、Avalanche、Polygon、Arbitrumなど）で攻撃を受けたことを示しています。脆弱性は、バルク交換におけるEXACT_OUT取引の四捨五入ロジックの誤りに起因しており、攻撃者はこのメカニズムを利用してプール内の残高を操作し、資産を引き出しました。この事件はBalancer V2のコンポーザブルステーブルプールにのみ影響を与え、Balancer V3および他のプールタイプには影響がありませんでした。Balancerチームはセキュリティパートナーおよびホワイトハットチームと迅速に行動し、Hypernativeによる自動停止、資産の凍結、SEALフレームワーク下でのホワイトハット介入などの措置を通じて、攻撃の拡大を抑制し、一部の資産を回収しました。その中で、StakeWiseは約73.5%の盗まれたosETHを回収し、BitFindingやBase MEVボットなどのチームも一部の資金回収を支援しました。現在、BalancerはSEAL、zeroShadowなどのセキュリティパートナーと共にクロスチェーントラッキングと資金回収を行っており、最終的な損失および回収データは完全な技術的振り返り報告書で発表される予定です。公式はユーザーに対し、Balancerの公式チャネルを通じて確認情報を取得するように警告しており、V3および非ステーブルプールの操作は引き続き安全であるとしています。

Gnosis は X プラットフォームで次のように発表しました："Balancer v2 の資金プールに影響を与える脆弱性の悪用事件に関する報告を受け取りました。現在、Gnosis は影響を受けた資金プールおよびアドレスの全範囲を特定するために全力を尽くしています。Gnosis チームはエコシステムのパートナーと調整を行っています。予防措置として、Gnosis は以下の行動を取っています：Monerium チームおよび Balancer チームと緊密に協力し、EURe/sDAI および GNO/osGNO の資金プールを凍結しました。ユーザーは引き続き UniV3 資金プールを通じて CoW Swap で取引を行うことができます。標準ブリッジを使用して Gnosis チェーンから資産をクロスチェーンで転送することは一時的に部分的に停止され、関連する取引は取り消されます。Gnosis は事態の進展を引き続き注意深く監視し、さらなる情報が得られ次第、迅速に更新を提供します。"

ChainCatcher のメッセージ、Sui エコシステムの収益プロトコル Typus Finance の公式がソーシャルプラットフォームで発表しました。約 2 時間前、TLP コントラクトがオラクルの権限検証の欠如による脆弱性を悪用されました。すべてのユーザーを保護するために、公式は直ちに Typus のすべてのスマートコントラクトの運用を停止しました。現在、Sui Foundation が提供する緊急技術サポートと連携して、全面的な調査を行っています。進展があれば、すぐに最新の状況をお知らせします。

ChainCatcher のメッセージ、最近高度に隠されたフィッシング攻撃が X プラットフォームのアプリケーション認証メカニズムを利用し、パスワードと二段階認証を回避し、複数の暗号分野の人物のアカウントがハッキングされました。攻撃者は Google カレンダーのリンクを装ったフィッシング情報を通じて、ユーザーに悪意のあるアプリ "Calendar" の認証を促し、実際には偽装文字を含み、全面的なアカウント制御権限を要求しています。セキュリティ専門家は、影響を受けたユーザーに対し、X の認証済みアプリページに早急にアクセスし、疑わしい "Calendar" アプリを削除してさらなる損失を防ぐことを推奨しています。

ChainCatcher のメッセージによると、公式の発表として、香港証券先物委員会は、違法な者が証券監視委員会の名を騙って詐欺行為を行っていることに対して、一般市民に警戒を呼びかけています。この機関は、詐欺師が一部の証券監視委員会の上級管理職や著名な株式評論家を装い、フィッシングメールや偽造文書などの手段で一般市民に接触していることを発見しました。これらの詐欺師には、規制執行部の執行董事である魏弘福氏（Christopher Wilson）を装って詐欺メールを送信し、返信メールの受取人のコンピュータシステムにマルウェアやランサムウェアをインストールしようとする者や、証券監視委員会の最高財務責任者である温志遥氏を装い、「資料確認手続き」という名目でフィッシングメールを送信し、受取人の連絡先情報を取得しようとする者が含まれています。ターゲットには、証券監視委員会のライセンスを持つ法人およびその従業員が含まれています。香港証券監視委員会は、上記のすべての情報および主張が虚偽であることを強調し、出所不明の通信を扱う際には必ず警戒を高めるよう一般市民に呼びかけています。

ChainCatcher のメッセージによると、The Block が報じたところによれば、"Fede's intern"という名前のアルゼンチンのブロックチェーン開発者が8月11日にトルコのイズミールで拘束されたと主張しています。トルコ内務省は、彼が他者に「イーサリアムの悪用」を助けたと非難しているとされており、具体的な非難の詳細はまだ明らかにされていません。この開発者は現在、法律チームの支援を受けており、彼のチームは基盤施設の開発のみを行っていると強調しています。報道によると、この開発者は投資機関のLambda Classおよびブロックチェーンソリューション会社のAlignedと関係があります。

ChainCatcher のメッセージによると、BeInCrypto が報じたところによれば、「Fede のインターン」と呼ばれるイーサリアム開発者が、他者にイーサリアムを「悪用」する手助けをした疑いで、トルコのイズミルで拘留されました。この開発者は X での投稿の中で、当局が彼にこの活動を助けたと非難していると述べています。「Fede のインターン」は不正行為を否定し、彼と彼のチームは「ただのインフラストラクチャーの構築者」であり、当局と協力する意向があると強調しました。「拘留」中、彼は断続的に最新情報を発信し、プライベートルームに移されたことや食事が提供されたことを報告しました。彼はまた、数時間以内にプライベートジェットでトルコを離れ、ヨーロッパに向かう手配をしていると主張しました。ヨーロッパに到着後、彼は弁護士チームと共に告発に対抗する予定です。

ChainCatcher のメッセージ、Lido が X プラットフォームでセキュリティ開示を発表：Lido CSM および検証者の引き出しに使用される免許不要の検証者契約に関連する脆弱性が報告され、修正されました。この脆弱性は悪用されず、CSM ノードオペレーターに影響はありませんでした。stETH 保有者にも影響はありませんでした。修正措置の一環として、オラクル緩和策（債券の破棄機能を無効化）と DAO 投票 190 号提案を通じて脆弱性の修正が実施されました。Lido は Lido×Immunefi プロジェクトを通じてこの問題を開示したホワイトハットハッカーに脆弱性報奨金を支払いました。

ChainCatcher のメッセージ、SlowMist の CISO @im23pds がツイートで ChromeV8 エンジンの脆弱性 CVE-2025-6554 を警告しています。この脆弱性により、攻撃者は巧妙に構築されたウェブページを通じて悪意のあるコードを実行することができます。現在、関連する PoC が公開されており、悪用されています。ユーザーはアップグレードに注意し、フィッシング攻撃による資産損失を避ける必要があります。