慢雾余弦

慢雾の創設者余弦はXプラットフォームでSquidのセキュリティ事件について解説を発表しました。彼はサンプリングの結果、関連するSafeウォレットはすべてシングルサインで、オーナーも異なることを示しましたが、問題はプライベートキーにはなく、これらのSafeアドレスで使用されているモジュール（SquidRouterModule）に脆弱性が存在することにあります。攻撃者はメッセージを偽造し、関連する検証を簡単に回避して、後続の交換操作を開始し、ターゲットのSafeウォレット内の資金を移動させることができます。さらに、余弦は攻撃者の利益が蓄積されたアドレス情報も公開しました。以前の情報によれば、ある第三者のGnosis SafeモジュールがBaseとイーサリアム上で悪用され、約320万ドルの損失を引き起こしました。被害者はこの契約を信頼されたSafeモジュールとして追加した86のGnosis Safeです。この契約はBasescan上で「SquidRouterModule」として知られており、その後SquidはGnosis Safeに関連する脆弱性事件の影響を受けていないことを明らかにしました。

SlowMistの創設者余弦（@evilcos）によると、今回のKelpDAO約2.9億ドルの盗難事件の攻撃の核心は、LayerZero DVN（分散型検証者ネットワーク）下流のRPCインフラストラクチャに対する標的型毒物投与です。具体的な攻撃手順は次の通りです：まず、LayerZero DVNが使用しているRPCノードのリストを取得し、その後、2つの独立したクラスターを攻撃してop-gethバイナリファイルを置き換えます；選択的欺瞞技術を利用して、DVNに対してのみ偽造された悪意のあるペイロードを返し、他のIPには実際のデータを返します；同時に、攻撃されていないRPCノードに対してDDoS攻撃を仕掛け、DVNを毒されたノードにフェイルオーバーさせ、偽造メッセージの検証を完了した後、悪意のあるバイナリが自壊し、ログを消去します。最終的に、LayerZero DVNは「発生したことのない取引」を発行して検証します。

慢雾の創設者余弦はXプラットフォームで投稿し、Coinbaseがユーザーにプレーンテキストのリカバリーフレーズを入力させるページをオフラインにしたと述べました。彼は、ウォレットにとってオンラインウェブページのセキュリティモデルは非常に低く、拡張機能やアプリよりもはるかに劣っていると指摘しました。オンラインウェブページがプレーンテキストのリカバリーフレーズを収集する手法は、フィッシングウェブページに模倣されやすく、すでにフィッシングの一般的な手法となっています。

慢雾余弦は X プラットフォームで次のように発表しました："あるグループがハッキングされている事件が発生しています。ハッカーのアドレス：0x913efc2062984288a0a083cd42b3a3422c07fcef、現在ハッカーは累計で 8.5 万ドルの利益を上げており、まだ増加しています。コミュニティのフィードバックによると、このグループは主に羊毛を刈るプレイヤーに属しており、プライベートキー/ニーモニックフレーズがハッカーによって事前に収集されています。ハッカーは関連資金を集めています。もし MoreLogin フィンガープリンターを使用している場合は必ず注意してください。ただし、現時点では MoreLogin または関連プラグインに問題があるという証拠はありません。"

慢雾の創業者余弦は X プラットフォームで次のように発表しました：「OpenClaw の安定性や堅牢性を信頼していないが、Claude Code には安心している。これはソフトウェア工学の核心目標の一つです。セキュリティに関しては、両社ともにセキュリティへの重視が非常に高く、提出された脆弱性には迅速なフィードバックが得られています。特定の OpenClaw のフォークや参考バージョンは、セキュリティへの積極性が大きく欠けています。セキュリティのシナリオにおいて、OpenClaw はサンドボックス機構を持っており、ツールの権限に関してもより細かい設計を試みていますが、その名の通り「OpenClaw」、オープンさが最大の魅力です。束縛された OpenClaw は OpenClaw ではありません。自由でありながら制御可能であることを望むのは、皆が悩むポイントですが、実際の生産環境では、過度に自由な OpenClaw は制御を失いやすいです。」

慢雾の創設者余弦が安全に関する警告を発表しました。現在、OpenClawのClawHubマーケットでは1,184個の悪意のあるスキルが発見されており、これらのスキルはSSHキー、暗号ウォレット、ブラウザのパスワードを盗み、リバースシェルを開く可能性があります。たった一人の攻撃者が677個のパッケージをアップロードしました。ランキング1位のスキルには9つの脆弱性が存在し、ダウンロード数は数千回に達しています。余弦はユーザーに対し、テキストはもはやテキストではなく、指令であると警告しています。AIツールは独立した環境で使用することを推奨し、多くのOpenClawスキルには潜在的なリスクが存在します。さらに、Web3のセキュリティにおける契約は一部に過ぎず、本当の事故の原因はすでに契約だけではありません。数日前、Moonwellが178万ドルを盗まれた事件では、欠陥コードがCo-Authored-By：Claude Opus 4.6から来ています。

慢雾の創設者である余弦は X プラットフォームで投稿し、DeBot イベントを追跡しており、ブロックチェーン上の状況を確認していると述べました。DeBot に関連するユーザーの秘密鍵が盗まれ、ハッカーは現在 25.5 万ドルの資産を得ており、引き続き盗難が続いています。DeBot を使用している場合、秘密鍵が DeBot によって割り当てられていると、この秘密鍵にはリスクがあります。

慢雾の創設者余弦がツイートで、Trust Wallet ブラウザ拡張の新バージョンがバックドア問題を完全に解決し、PostHog 関連のコードが含まれていないことを示しました。以前、情報源データに誤りがあったため、分析時に PostHog が完全に削除されていないと誤解されていました。PostHog はオープンソースの全リンク製品分析プラットフォームで、さまざまな情報を収集して分析するために使用できます。Trust Wallet ブラウザ拡張 2.68.0 バージョンにはバックドアがあり、このバージョンは PostHog を利用していました。

慢雾余弦は X プラットフォームで発表し、慢雾チームが2つの取引プラットフォームの深刻な脆弱性（資金の安全に直接影響する）を発見したことを示し、連絡が取れず、公開連絡にも反応がないと述べました。余弦は同時に、これら2つの取引プラットフォームの1つは24時間の取引量が370億ドル、もう1つは2.4億ドルであると述べました。慢雾チームのアカウントのツイートによると、彼らは昨日「ICRYPEX Global」という取引プラットフォームに積極的に連絡を取ったことが示されています。

慢雾余弦は X プラットフォームで、ユーザー Babur が 2,700 万ドル相当の暗号資産を盗まれた事件について発表しました。分析によると、盗まれた資産は主に二つのアドレスに関連しています：Solana アドレス 91xu と Ethereum Safe マルチシグアドレス 0xD2 で、最大の二つの盗まれた資産の総価値は 1,800 万ドルを超えています。ハッカーのアドレスは 71fM（Solana）と 0x4f（Ethereum）で、一部の資金は Ethereum ネットワークにクロスチェーンされています。この事件は、コンピュータがマルウェアに感染したことが原因と疑われており、ユーザーが悪意のあるファイルをダブルクリックして実行した後に秘密鍵が漏洩した可能性があります。Safe マルチシグの二つの署名秘密鍵も感染したコンピュータに保存されている可能性があります。

慢雾余弦 @evilcos は、Web3 求職者が面接中に悪意のあるコードの罠に遭遇したと警告しています。事件では、攻撃者が @seracleofficial を装い、求職者に Bitbucket 上のコードをレビューして実行するよう要求しました。被害者がコードをクローンした後、プログラムは直ちにローカルのすべての .env ファイルをスキャンし、秘密鍵などの敏感な情報を盗みました。慢雾側は、このようなバックドアは典型的なスティーラーに属し、ブラウザに保存されたパスワード、暗号ウォレットのリカバリーフレーズや秘密鍵などのプライバシーデータを収集できると指摘しています。専門家は、疑わしいコードのレビューに関与する場合は、必ず隔離された環境で操作し、実際のデバイスで直接実行して攻撃を受けることを避けるべきだと強調しています。

据慢雾余弦披露，部分用户可能未收到 Monad 空投，建议检查此前在空投领取页面 claim.monad.xyz 绑定的钱包地址是否为预期地址。余弦表示，如果绑定地址并非用户预期，可能遭遇了与用户 Onefly（@Onefly）类似的问题------钱包地址被黑客绑定为黑客地址，导致官方将空投发放给了黑客。据余弦透露，此前有白帽黑客曾向其同步过一个相关漏洞，该漏洞存在前置条件：如果有人劫持了用户在 Monad 空投领取页面的会话，可以在无需进一步确认的情况下更改领取钱包地址。

慢雾余弦は X プラットフォームで、GANA が盗まれたのは GANA Payment Stake コントラクトのオーナーの秘密鍵が漏洩したためだと発表しました。その後の攻撃ではいくつかのテクニックが使用されました。例えば、7702 デリゲートの利用により、ちょうど unstake の onlyEOA 判定を回避でき、関連するレートと手数料を変更することで、数百枚の USDT をステークするだけで、数十万枚の USDT をアンステークする攻撃結果を実現しました。

慢雾の創業者である余弦はツイートで次のように述べています。「NoFxというオープンソースの自動取引システムを使用している友人たちは注意してください。私たちが開示したリスクが実際の盗難事件として現れました。一部のユーザーのウォレットの秘密鍵やCEX/DEXのAPIキーが漏洩しました。リスクを最小限に抑えるために、私たちは関連するセキュリティチームと連携し、影響を受けたユーザーに可能な限り通知を行った後に、この文を発表して詳細を開示します。」

据 X 平台用户反映，一名 imToken 钱包用户在参与币安 TGE 活动时遭遇 112 BNB 被盗。安全专家慢雾余弦 @evilcos 初步分析链上数据后发现，该黑客地址 (0x8AeB0171742AC50d20884997F9f5009a233216D5) 已造成至少 7 名用户资金损失。攻击模式显示黑客可能通过获取助记词或私钥进行有计划的攻击，受害者通常在转入大额资金后短时间内便被转走资产。安全团队已开始标记并拉黑相关黑客地址，并持续关注事态发展。

ChainCatcher のメッセージによると、SlowMist の余弦の情報によれば、北朝鮮のハッカーに関連するトロイの木馬 SilentSiphon は、Apple のメモ、Telegram、ブラウザの拡張機能からデータを取得できるほか、ブラウザやパスワードマネージャーから認証情報を取得し、多くのサービスに関連する設定ファイルから機密情報を取得することができます。ユーザーはセキュリティ意識を高め、定期的にソフトウェアのバージョンを更新し、出所不明のアプリケーションをダウンロードしないようにし、信頼できるセキュリティソフトウェアを使用して保護する必要があります。

ChainCatcher のメッセージ、SlowMist の余弦が X プラットフォームで投稿した内容は次の通りです："私たちに提出された GMGN に関する数十件の盗難情報を見たところ、共通点は：ユーザーの秘密鍵は漏洩していないが、SOL BNB がすべて貔貅盤で購入されている（つまり、買うことしかできず、売ることはできない）、ハッカーは主に貔貅盤のプールを撤去する方法でユーザーの資金を巻き上げ、70 万ドル以上の利益を得ています。このような状況を引き起こす原因（秘密鍵の漏洩ではない）は、高度なフィッシング手法による可能性が高いです。GMGN は関連する問題を修正したため、再現は難しいですが、GMGN アカウントのモデルに関連していると推測されます。ユーザーがフィッシングサイトにアクセスし、フィッシングサイトがユーザーの GMGN アカウントモデルのログイン署名情報を取得することで、例えば access_token と refresh_token の値を得て、ユーザーアカウントの権限を乗っ取ります。しかし、ユーザーの 2FA がないため、秘密鍵を直接エクスポートしたり、資金を引き出したりすることはできず、したがって貔貅盤を通じてユーザー資金の「対敲」攻撃を実現し、間接的にユーザーの資産を盗むのです。"

ChainCatcher のメッセージによると、SlowMist の余弦分析によれば、クロスチェーンブリッジプロジェクト 402Bridge の攻撃はプライベートキーの漏洩に起因しており、内部関係者による犯行の可能性も排除できません。402 bridge.fun ドメインは登録からわずか2日でサービスを停止し、現在盗まれた資金にはさらなる動きは見られていません。これは 402 プロトコル関連サービスの最初の公開セキュリティ事件であり、SlowMist の余弦は今回の事件が典型的なプロジェクト側の集団的悪行ではないと述べています。

ChainCatcher のメッセージ、SlowMist の余弦がソーシャルメディアで安全に関する警告を発表し、AI に対する毒物投与の状況が存在すると述べ、ユーザーに対して AI が生成したコードを鵜呑みにしないように特に敏感な操作を行う際には注意するように勧めています。余弦は、成熟した有名なオープンソースコードを優先的に使用することを提案していますが、同時にサプライチェーンの毒物投与リスクにも注意が必要です。もう一つの安全な考え方は、有名なウォレット（ハードウェアウォレットを含む）のオープンソース実装を比較することで、複数の視点から比較検討して安全性を確保することです。

ChainCatcher のメッセージ、コミュニティユーザーが FTX の偽の賠償金に関する電子メールで XPUB を生成するためにツールをダウンロードする必要があると述べたことに対し、Slow Mist の創設者である余弦は X プラットフォームで次のように応答しました："この悪意のあるツールは AI で作成されたと思われ、リカバリーフレーズを盗む意図は非常に明確で、悪意のある Telegram ボットは ftxsexxerbot です。"