漏

オンチェーンデータによると、StakeDAOのデプロイヤーの秘密鍵がArbitrum上で漏洩し、攻撃者は約5.45兆枚のvsdCRVを鋳造し、その一部を43.7枚のETHに交換しました。

Polymarketの副社長Josh Stevensによると、ZachXBT、BitcoinVN、ChangeNOWの協力を得て、Polymarketの秘密鍵漏洩事件で16.4万ドルの資金が凍結されており、移転された総額57.32万ドルの約28.6%を占めています。Joshは、この事件がPolymarketやUMAのスマートコントラクトに影響を与えておらず、ユーザーの資金は安全で、プラットフォームは正常に運営されていると述べています。調査によると、事故は約6年前から存在する秘密鍵の漏洩に起因しており、その秘密鍵は内部のチャージ設定に使用されていたため、資金が影響を受けたアドレスに継続的に送信されていました。現在、関連チームは盗まれた資金の残りの流れを追跡し続けています。

PolymarketのスタッフShantikiran ChanalはXプラットフォームで、報酬の配布に関連するセキュリティレポートに注目しており、ユーザーの資金と市場の決済は安全な状態にあると述べました。調査結果は、内部運営に使用されるウォレットの秘密鍵が漏洩したことを示しており、契約やコアインフラストラクチャの問題ではありません。今後、さらなる更新が発表される予定です。以前の情報では、ZachXBTはPolymarketのUMA CTFアダプター契約がPolygon上で攻撃を受けた疑いがあると述べており、現在52万ドル以上が流出しています。

TechCrunch の報道によると、Trump Mobile でユーザーデータの漏洩事件が発生し、顧客のメールアドレスや郵送先住所などの個人情報が含まれており、現在も関連データはネット上でアクセス可能です。YouTube のクリエイターである Coffeezilla と penguinz0 は、トランプの金色 T1 スマートフォンを注文した後、セキュリティ研究者からの警告を受け、彼らの個人情報が漏洩データセットに出現していることを発見しました。Coffeezilla は、漏洩内容はほぼすべての基本的な身分情報を含んでおり、クレジットカード番号は含まれていないと述べ、ユーザーに対してこのプラットフォームでの注文をしないよう警告しました。二人は、漏洩データは公開アクセス可能なシステムからのものである可能性が高く、現在 Trump Mobile の公式な回答や修正の説明は受け取っておらず、関連する問題は未解決のままであると述べています。漏洩データに含まれる注文番号から推測すると、実際の予約数は約 3 万台で、以前の市場予測であった約 59 万台のプレセール規模を大きく下回っています。分析者は、この事件が Trump Mobile の製品提供と基本的なセキュリティ能力に対する外部からの疑問をさらに引き起こすと考えています。

Galxeは安全更新を発表し、漏洩した内部キーが退役したGalxe SpaceStation V2契約に影響を与えたと述べました。Galxeは、今回の事件がユーザーのウォレットや資金の安全に影響を与えていないことを強調しており、たとえユーザーが過去に関連契約とやり取りをしていたとしても、ウォレットの資産は「完全に安全」であるとしています。プラットフォームは、問題が関連契約のレベルに限定されていることを示しており、現在、根本原因が確認されており、安全管理措置の更新を進めていると述べています。調査が完了した後、完全な報告書を発表する予定です。

慢雾余弦社交媒体は、高危険なiOS攻撃フレームワークDarkSwordがGitHubなどのチャネルで公開され、暗号通貨ウォレットの保有者に対する大規模な窃盗攻撃に使用されていると報告しています。この攻撃プログラムは、iOS 18.4から18.7バージョンのデバイスを対象としており、悪意のあるウェブページを通じてSafariブラウザの脆弱性を利用してリモートコード実行を実現し、ユーザーの敏感なデータを盗みます。攻撃者は、偽のポルノライブ、波場エネルギーステーション、返金プロセスなどの餌となるウェブページを利用して攻撃を仕掛けます。古いバージョンのiOSを実行しているiPhoneユーザーがこのようなウェブページにSafariブラウザでアクセスすると（ページを閉じていなくても）、その後ウォレットアプリを解除する際に、平文の秘密鍵やリカバリーフレーズなどの敏感な情報が悪意のあるJavaScriptコードによって盗まれ、Telegramボットなどのチャネルを通じてリアルタイムで送信される可能性があります。

財聯社の報道によると、OpenAIは最近発生した人気のオープンソースライブラリTanStackに対する「Mini Shai-Hulud」サプライチェーン攻撃事件について声明を発表しました。多くの一般的なnpmソフトウェアパッケージに対する悪意のある攻撃を監視した後、セキュリティチームは内部システムを迅速に調査し、現在のところユーザーデータが漏洩したり不正アクセスされた証拠は見つかっていません。OpenAIは、コアサービスが直接的な損害を受けていないものの、ローカル環境の安全を確保するために、公式アプリケーションを使用しているmacOSユーザーは2026年6月12日までにソフトウェアの更新を完了する必要があると指摘しています。

GoPlus の発表によると、過去 36 時間以内に新たに 2 件の公開鍵漏洩事件が発生し、総損失は 23.8 万ドルに達しました。そのうち 0xUnihax0r は 20 万ドルの損失を被り、取引ボットや Telegram をアップロードしたことがあります；@Eli5defi の盗まれたアドレスは、以前の 574 件のアドレスの大規模な秘密鍵漏洩事件と関連しています。GoPlus は、このような集中型の大規模秘密鍵漏洩を考慮し、直ちに秘密鍵漏洩自己検査チェックリストに従ってリスクを調査することを推奨しています。

Syndicateは、以前の安全事件に関する更新を発表し、秘密鍵の漏洩により2つのチェーン上のブリッジ契約が悪意を持ってアップグレードされ、約1850万枚のSYND（約33万ドル）および約5万ドルの顧客トークンが盗まれたと述べました。影響を受けたユーザーは全額賠償を受け、SYND保有者には追加の補償が提供されます。攻撃は多段階の偵察、インフラストラクチャのマッピング、脆弱性の開発および正確なタイミングを含み、内部関係者の関与の可能性は排除されました。脆弱性の根本原因は、秘密鍵がパスワードマネージャに保存されており、アップグレードプロセスがマルチシグやハードウェア署名を使用していなかったことです。Syndicateは、パスワードマネージャの外に暗号化層を追加し、アップグレード経路にマルチシグまたはハードウェア署名を採用するなど、セキュリティ対策を強化しています。

公式の発表によると、Syndicate Labsは、プライベートキーの漏洩により、クロスチェーンブリッジ契約が2つのチェーンで悪意のあるアップグレードを受け、攻撃者が約1,850万枚のSYND（約33万ドル）と約5万ドルのユーザートークンを移転・販売したと明らかにしました。この事件は特定のチェーンにのみ影響を及ぼし、他のチェーンには影響がありませんでした。Syndicate Labsは、今回の攻撃が多段階の偵察、インフラストラクチャのマッピング、そして慎重に実行されたものであり、高度な技術的複雑性を持ち、内部関係者の関与は排除されていると述べています。根本的な原因は、プライベートキーがパスワード管理ツールに保存されており、追加の暗号化層が欠如していること、またアップグレードプロセスがマルチシグやハードウェア署名メカニズムを採用していないこと、さらに契約のアップグレードに対する警告やブレーク措置が不足していることです。Syndicate Labsは、すべての影響を受けたユーザーに対して全額賠償を行うことを表明しており、1,850万枚のSYNDを返還し、追加の補償を提供するほか、影響を受けたアプリケーションチェーンの顧客にも全額補償を行います。同社は、プライベートキーの暗号化を強化し、アクセス権限を厳格化するなどのセキュリティアップグレード措置を開始しており、ハードウェアまたはマルチシグ署名メカニズムおよびアップグレードパスの監視を導入する計画です。これにより、同様の事件の再発を防止します。

Berachain財団はXプラットフォームで警告を発表しました。Wasabi Protocolはデプロイヤーの秘密鍵の漏洩によりクロスチェーンのセキュリティ事件を引き起こし、Berachainを含む複数のブロックチェーンに影響を及ぼしています。リスクの拡大を防ぐために、Berachainはネットワーク内のすべての影響を受けたWasabi報酬金庫（Reward Vaults）を一時停止し、ブラックリストに登録しました。攻撃を受けた契約に対するBGTステーキング報酬の支払いを直ちに停止し、新たなBGTが損傷した契約に流入する経路を遮断しました。公式は、BerachainとWasabiとのインタラクションを行ったすべてのユーザーに対し、指定された契約に対するトークンの承認を直ちに撤回するよう求め、資産が盗まれるリスクを避けるように警告しています。Berachainは同時に、ネイティブのRewardVaults内のBGT報酬資金は安全であり、ユーザーは正常に受け取ることができると強調しています。この事件はコアエコシステムの権利には影響を与えません。

外部からのデータが「漏洩」したとの疑問に対し、Polymarket は声明を発表し、関連データは一度も漏洩しておらず、すべてのデータはその公共エンドポイントおよびオンチェーンデータを通じて公開アクセス可能であると述べました。これはオンチェーンデータの透明性の固有の特性であり、安全性の欠陥ではありません。Polymarket は、オンチェーンデータの核心的な利点の一つは完全に公開されており、監査可能であることだと述べ、誰でもその API を通じて関連データを無料で取得できるため、購入する必要はないとしています。ChainCatcher の以前の報道によると、予測市場プラットフォーム Polymarket がデータ漏洩の疑いを受け、30 万件以上の記録と脆弱性利用ツールキットが流出したとのことです。

去中心化予測市場プラットフォーム Polymarket がハッキングされた疑いがあり、脅威行為者 xorcat が有名なネット犯罪フォーラムに30万件以上のデータ記録と関連する脆弱性利用ツールキットを公開しました。攻撃者は、未公開のAPIエンドポイント、ページングバイパス、Polymarket GammaとCLOB APIのCORS設定ミスを通じてデータを抽出したとされています。漏洩した内容には、1万件のユーザーの完全な個人情報（名前、代理ウォレット、基本アドレスを含む）、4111件のコメント、1000件の通報記録（58のETHアドレスと管理者認証アドレス識別を含む）、48536件のGamma市場のメタデータ、25万件以上のアクティブCLOB市場の固定積算マーケットメイカーアドレス、そして9000件のフォロワーのソーシャルグラフデータが含まれています。ツールキットには、複数の脆弱性の概念実証コードが含まれており、CVE-2025-62718（Axios NO_PROXYバイパス、CVSS 9.9、サーバーサイドリクエストフォージェリを引き起こす可能性）、CVE-2024-51479（Next.jsミドルウェア認証バイパス、CVSS 7.5）、およびCORS設定ミスなどが含まれています。さらに、ツールキットには自動化された継続的プルスクリプトと完全なレッドチームレポートも添付されています。

OrcaはXプラットフォームで、フロントエンドがクラウドホスティングプラットフォームVercelにホストされていると発表しました。Vercelのセキュリティ事件に関して、慎重を期して漏洩の可能性のあるすべてのキーとデプロイメント証明書をローテーションしました。Orcaのオンチェーンプロトコルとユーザー資金には影響がありません。公式は引き続き監視を行い、さらなる情報が得られ次第更新します。

慢雾科技の最高情報セキュリティ責任者 23pds がリツイートしたところによると、クラウドホスティングプラットフォーム Vercel の内部システムが未承認アクセスを受けた件は、内部データ漏洩に関連している疑いがある。関連するツイートでは、誰かが BreachForums で ShinyHunters を名乗り、200 万ドルでいわゆる Vercel の内部データベース、アクセスキー、ソースコード、従業員アカウント、API キー、NPM トークン、GitHub トークンなどを販売すると主張している。関連データは Vercel の内部 Linear システムおよび内部ユーザー管理システムに関与している疑いがある。以前の情報によれば、クラウドホスティングプラットフォーム Vercel は内部システムが未承認アクセスを受けたことを公表し、少数の顧客が影響を受けた。

OpenAIは発表し、最近の業界全体の安全事件において、使用しているサードパーティ開発ライブラリAxiosに潜在的な安全問題があることを発見した。調査の結果、ユーザーデータがアクセスされたり、システムが侵害されたり、ソフトウェアが改ざんされた証拠は見つからなかった。慎重を期して、OpenAIは安全強化措置を開始し、特にmacOSアプリの認証メカニズムを強化し、悪意のある者が公式アプリを偽造して配布するのを防ぐことに重点を置いている。OpenAIはすべてのmacOSユーザーに対し、潜在的なリスクを低減するために、最新バージョンのアプリにできるだけ早く更新するよう、アプリ内更新または公式チャネルからのダウンロードを通じて促している。

CZはソーシャルメディアで新書の「電話番号漏洩」について、数年前からその電話番号は使用していないと応じた。新しい持ち主はハッカーか警察で、以前はアシスタントになりたいと思っていた。皆さん自身の安全に注意してください。関連する（ソーシャルメディアアカウント）を追加しないことをお勧めします。

公式の情報によると、ブロックチェーンセキュリティ機関のSlowMistは最近、OKX Walletに対する特別監査を行った安全評価報告書を発表しました。結果は、監査されたバージョンにおいて、アプリが外部サーバーに秘密鍵やリカバリーフレーズなどの敏感情報を送信する行為が見つからず、全体として敏感データの漏洩リスクが検出されなかったことを示しています。今回の評価は、OKX Walletに秘密鍵やリカバリーフレーズの外部送信の問題が存在するかどうかに重点を置いて行われ、その結果、関連する核心情報はすべてローカルで処理されていることが示されました。現在、秘密鍵とリカバリーフレーズの処理方法はウォレットのセキュリティの核心となっており、このような監査結果はユーザーにとってより直接的なセキュリティの参考を提供しています。

Fortune の報道によると、OpenAI、Anthropic、Meta などの AI 企業にトレーニングデータを提供しているスタートアップ企業 Mercor が重大なセキュリティ脆弱性に直面したことを確認しました。この事件は、開発者が AI サービスを接続するために広く使用しているオープンソースライブラリ LiteLLM に対するサプライチェーン攻撃に起因しています。日々のダウンロード数は数百万回に達します。攻撃はハッカーグループ TeamPCP によって引き起こされ、LiteLLM に悪意のあるコードを埋め込むことで認証情報を盗みました。別のハッカーグループ Lapsus$ は、その後、Mercor から最大 4TB のデータを取得したと主張しました。これにはソースコード、データベースの記録、内部 Slack コミュニケーション、プラットフォームの対話ビデオなどが含まれています。未確認の報告によれば、Mercor の一部の顧客のデータセットおよびその機密 AI プロジェクト情報が漏洩した可能性があります。Mercor は、事態を抑制するために迅速に措置を講じ、第三者によるフォレンジック調査を開始したと述べています。

慢雾発文分析によると、Driftの盗難事件は、攻撃が発生する1週間前にDriftがマルチシグメカニズムを「2/5」（1人の旧署名者+4人の新署名者）に調整し、タイムロックを設定しなかったことを指摘しています。攻撃者はその後、管理者権限を取得し、CVTトークンを偽造し、オラクルを操作し、安全メカニズムを無効にし、資金プールから高価値の資産を移転しました。現在、盗まれた資金は主にイーサリアムアドレスに集約されており、合計約105,969枚のETH（約2.26億ドル）です。慢雾は、関連する資金の流れを引き続き追跡していると述べています。