脆弱性

DeFi 研究とリスク管理会社 Gauntlet が X プラットフォームで Resolv 脆弱性の処理進捗を更新しました。現在、Base ネットワークの USDC Frontier (v1) はすべての Resolv 市場から解除されており、悪化した債権リスクはありません。v1 と v2 の金庫は現在、再び入金が可能です。Morpho は明日、インターフェース警告を削除します。メインネットの USDC Frontier (v2) 金庫の再起動作業が進行中で、既存のタイムロックの設定に基づき、v1 市場アダプターの提出上限は 3 日、v1 Vault アダプターの削除は 5 日となります。Gauntlet は Resolv の今後の修正に基づいて、残りの金庫に関するさらなる詳細を提供することを示しています。

DeFi研究とリスク管理会社GauntletはXプラットフォームでResolvの脆弱性処理の進捗を更新しました。現在、BaseネットワークのUSDC Frontier (v1)はすべてのResolv市場から解除されており、悪化債権リスクはありません。v1とv2の金庫は現在、再び入金が可能になりました。Morphoは明日、インターフェース警告を削除します。メインネットのUSDC Frontier (v2)金庫の再起動操作が進行中で、既存のタイムロックの設定に基づき、v1市場アダプターの提出上限は3日、v1 Vaultアダプターの削除は5日です。Gauntletは、Resolvの今後の修正に基づいて、残りの金庫に関するさらなる詳細を提供することを示しています。

GoPlusがKoiの報告を引用したところによると、AnthropicのClaude Chrome拡張機能には高危険な提示語注入の脆弱性が存在し、バージョン1.41未満のすべての拡張機能が影響を受けています。攻撃者は悪意のあるウェブページを構築することで、バックグラウンドで静かにクロスサイトスクリプティング（XSS）脆弱性を含むiframeを読み込み、a-cdn.claude.aiのサブドメイン内で悪意のあるペイロードを実行できます。このサブドメインは拡張機能の信頼されたホワイトリストにあるため、攻撃者は直接Claude拡張に悪意のある提示語を送信し、自動的に実行することができ、ユーザーの承認やクリック操作は必要ありません。被害者は気づきません。この脆弱性により、攻撃者はClaude拡張を操作してユーザーのGoogle Driveドキュメントを読み取ったり、ビジネスアクセストークンを盗んだり、チャット履歴をエクスポートしたりすることができ、これを利用して現在のブラウザセッションを乗っ取り、被害者の身分でメールを送信するなどの敏感な操作を実行できます。GoPlusはユーザーに対し、Claude拡張を直ちに1.41以上のバージョンに更新し、フィッシングリンクに警戒するように推奨しています。

GoPlus Security が発表したセキュリティ警告によると、Silverfort のセキュリティ研究者は OpenClaw のスキルリポジトリ ClawHub に深刻な脆弱性を発見しました。攻撃者は内部関数 downloads:increment を呼び出すことで、すべての防御機構を回避し、単一の curl リクエストで数分以内にダウンロード数を 2 万回以上に増やすことができ、悪意のあるコードを含むスキルを検索ランキングの第一位に押し上げ、ユーザーや AI エージェントに自動的にインストールさせることができます。悪意のあるスキルが実行されると、暗号財布や API キーなどの敏感なデータを盗むことができます。現在、この脆弱性は 24 時間以内に修正されました。GoPlus はユーザーに対し、高いダウンロード数が安全を意味するわけではないと警告し、AgentGuard を使用して安全スキャンと防御を行うことを推奨しています。

慢雾の最高情報セキュリティ責任者 23pds（山哥）は X プラットフォームで投稿し、LiteLLM の脆弱性を利用した攻撃者が約 300GB のデータを盗み、約 50 万の認証情報を盗んだとの情報があると述べました。彼はすべての暗号通貨開発者に対し、直ちに確認を行い、関連するキーと認証情報をできるだけ早くローテーションし、ログ、アクセス記録、および機密データの漏洩状況を確認することを推奨しています。Trust Wallet の事件のような損失を避けるためです。以前の情報によると、毎月のダウンロード数が 9700 万回に達する LiteLLM はサプライチェーン攻撃を受け、簡単にインストールすることで SSH キーなどのすべての機密情報を盗むことができます。

チェーン上のアナリストの監視によると、ResolvLabsのステーブルコインに疑わしい脆弱性が発生しており、チームはまだ応答していません。あるアドレスが10万枚のUSDCを使用して50,000,000枚のUSRを鋳造したため、USRは一時的に0.257ドルまで暴落し、下落率は74.2%でしたが、現在は0.7847ドルまで回復しています。

中国信通院と上海交通大学、南京大学の共同チームは、オープンソースの自律型インテリジェントフレームワークOpenClawのセキュリティ監査を行った際、bash-toolsモジュールにLLM駆動型コマンドインジェクションの高危険性の脆弱性が存在することを発見しました。この脆弱性は、システムがLLM生成のコマンドライン引数を厳密にエスケープしていないことに起因し、攻撃者は誘導的なPromptを通じて正規表現の防御を回避し、ホストマシン上でリモートコード実行を実現し、機密データを盗むことができます。研究チームは、さまざまな主流モデル環境での攻撃検証を完了し、責任ある脆弱性開示プロセスを開始し、NVDB人工知能製品セキュリティ脆弱性専門ライブラリ（CAIVD）およびGitHubコミュニティに修正提案を提出しました。

Venus Protocolは、THE市場イベントに関する声明を発表し、このイベントはフラッシュローン攻撃ではなく、攻撃者がプロトコルの古いコードにある供給上限の実行バグを利用した結果であると述べています。チームは、攻撃者が約9ヶ月間にわたりTHEトークンを蓄積し、Venus上での支配的な供給地位を徐々に確立していたと報告しています。公告では、攻撃者がTHEトークンをプロトコル契約に直接転送することで通常の預金プロセスを回避し、1450万枚のTHEの供給上限を突破し、オンチェーンの流動性が低い特徴を利用してDEX価格を操作したことが指摘されています。外部価格がTWAPオラクルによって徐々に反映された後、攻撃者は膨張した担保価値を利用して資産（CAKE、BNBなど）を循環借入し、さらに多くのTHEを購入して価格を押し上げ、vTHE市場にTHEを継続的に転入して担保価値を高めました。この循環により、価格は約0.27ドルから約0.53ドルに押し上げられ、最終的にポジションが清算された後、プロトコルに不良債権が残りました。Venusは現在、THE市場を一時停止し、その担保因子を0に引き下げ、出金を停止しました。同時に、予防措置として、BCH、LTC、AAVE、POL、FIL、TWT、UNIおよびlisUSDなどの8つの市場の担保因子も0に引き下げられました。チームとセキュリティパートナーは引き続き調査を行っており、今後完全な事後分析報告を発表する予定です。

ホワイトハッカー f4lc0n が X プラットフォームで投稿し、Injective プロトコルにおいて、チェーン上で 5 億ドル以上の資産が直接引き出される可能性のある「深刻」な脆弱性を発見したと明らかにしましたが、プロジェクト側は彼に 5 万ドルの報酬しか提示せず、彼が計画していたこのレベルの最高上限 50 万ドルを大きく下回っています。f4lc0n は、この脆弱性により、特別な権限なしで任意のアカウントを空にできると述べました。彼は Immunefi を通じて報告を提出した後、Injective チームは翌日、脆弱性を修正するためのメインネットアップグレード投票を開始しましたが、その後の 3 か月間は「失踪」状態でした。現在、f4lc0n は報酬の金額に異議を唱えており、5 万ドルの報酬もまだ支払われていないと述べています。彼は、Injective が基準に従って報酬を支払うまで、この問題を公にし続けるために今後の脆弱性報酬収入の 10% を使うと発表しました。

OKXの創設者兼CEOのStarは、「武漢安隼科技チームによるプラグインの脆弱性を利用したハッキング事件」に関して発表し、「OKX Walletのセキュリティチームは調査を完了しました。原文で『OKXウォレットの脆弱性』と表現されているのは正確ではありません。以下の2点を明確にする必要があります：この事件はOKX Web3ウォレットのセキュリティ脆弱性ではありません。攻撃手法は、ハッカーがトロイの木馬ソフトウェアを通じてユーザーのデバイスを制御し、ウェブページのJSコードを改ざんしてhookを埋め込むか、キーボード入力を監視するなどの方法で、ローカルに保存された暗号ファイルやパスワードを盗むことです。OKX Web3ウォレットは100%自己管理型ウォレットです。秘密鍵とパスワードはユーザー自身のデバイスにのみ存在し、OKXはユーザーの資産にアクセスしたり制御したりすることはできません。しかし、ユーザーのデバイス自体がすでにハッカーに制御されている場合、MetaMaskを含むどのウォレットも安全を保証することはできません。これは、泥棒がすでにあなたのコンピュータを操作し、すべてのキーボード入力を見ているようなものです。ユーザーには、出所不明のソフトウェアやプラグインのインストールを避け、定期的にデバイスのセキュリティを確認し、リカバリーフレーズや秘密鍵を適切に保護することをお勧めします。」報道によると、武漢安隼科技チームは多数のユーザー端末を制御し、リカバリーフレーズを盗み、デジタル資産を遠隔で移転させ、関与した金額は700万ドルに達しています。

据 The Block 报道，Ledger 旗下安全研究团队 Donjon 发现 MediaTek 处理器安全启动链中的一个漏洞，攻击者可在物理接触手机的情况下，通过 USB 连接在操作系统加载前提取加密密钥，解密设备存储，从而在约 45 秒内获取设备 PIN 码及加密钱包助记词。概念验证测试中，该漏洞成功从 Trust Wallet、Kraken Wallet 和 Phantom 等钱包应用中提取了敏感数据。研究人员表示，该漏洞可能影响约 25% 的 Android 手机，涉及使用 MediaTek 芯片及 Trustonic 可信执行环境的机型。Ledger 首席技术官 Charles Guillemet 表示，智能手机从未被设计为保险库，该漏洞虽可通过补丁修复，但表明在非安全设备上存储密钥存在固有风险，建议用户尽快更新安全补丁。据 TRM Labs 数据，2025 年上半年被盗的 21 亿美元加密资产中，超过 80% 源于私钥盗窃、助记词窃取及前端劫持等基础设施攻击。Chainalysis 数据显示，2024 年全年加密资产盗窃损失超过 34.1 亿美元，个人钱包被盗占比从 2022 年的 7.3% 上升至 2024 年的 44%。

OpenClaw の創設者ピーター・スタインバーガーは、GitHub のセキュリティ脆弱性報告プロセスに多くの問題があると批判する投稿をしました。彼は、現在の脆弱性報告が管理者のみのアクセス権を持っているため、チーム内での効果的な配布と協力処理が難しいと指摘しました。さらに、GitHub の脆弱性報告に関しては API 機能が不足しており、自動化エージェントを通じてコメントを読み取ったり公開したりすることができないため、セキュリティ対応プロセスの自動化能力が制限されています。ピーター・スタインバーガーは、現在の脆弱性報告には大量の AI 生成の低品質なコンテンツが含まれており、選別に数時間を費やす必要があると特に指摘し、セキュリティ処理作業の負担がさらに増加していることを強調しました。

Cosmos Labs は X プラットフォームで発表し、最近、Cosmos EVM Stack に基づいて構築されたブロックチェーンの一部に影響を与える脆弱性を発見したと述べています。この脆弱性は、プロダクション環境で Layer 1 ブロックチェーン Saga に影響を与えています。Cosmos Labs は、チームが Saga およびエコシステムパートナーと共にこの問題を調査し、緩和策を実施する調整を行ったと述べており、現在、影響を受けたブロックチェーンに対してセキュリティパッチをリリースしています。

HyperEVM ネイティブの非管理型貸付プロトコル HypurrFi は X プラットフォームで発表し、Aave V3 3.5 以前のバージョンに「丸め誤差」の脆弱性が存在し、特定の条件下で攻撃者が供給/引き出しおよび貸付/返済のループ操作を繰り返すことで基盤トークンを引き出すことができると述べています。影響を受けた市場は HypurrFi Pooled の XAUT0 と UBTC です。現在、ユーザーの資金にはリスクがなく、安全を確保するために関連市場は新しい供給と貸付操作を一時停止しています。引き出しと返済機能は正常に使用可能で、その他の市場は正常に運営されています。HypurrFi は、内部監視システムを通じて迅速にオンチェーンでこの問題を発見し、影響を受けた市場を即座に凍結したと補足し、他の Aave デプロイメントやセキュリティ研究者と協力して問題を処理していることを明らかにし、他の Aave フォークプロジェクトに連絡してさらなるセキュリティ情報を取得するよう招待しています。

HyperEVM ネイティブの非管理型貸付プロトコル HypurrFi は X プラットフォームで発表し、Aave V3 3.5 以前のバージョンに「丸め誤差」の脆弱性が存在し、特定の条件下で攻撃者が供給/引き出しおよび貸付/返済のループ操作を繰り返すことで基盤トークンを引き出すことができると述べています。影響を受けた市場は HypurrFi Pooled の XAUT0 と UBTC です。現在、ユーザーの資金にはリスクがなく、安全を確保するために関連市場は新しい供給と貸付操作を一時停止していますが、引き出しと返済機能は正常に使用できます。他の市場は正常に運営されています。HypurrFi は、内部監視システムを通じて迅速にオンチェーンでこの問題を発見し、影響を受けた市場を即座に凍結したと補足し、他の Aave デプロイメントおよびセキュリティ研究者と協力して問題を処理していると述べ、他の Aave フォークプロジェクトに連絡してさらなるセキュリティ情報を得るよう招待しています。

Web3 セキュリティ会社 GoPlus は、AI 開発ツール OpenClaw が最近自己攻撃のセキュリティ事件を起こしたと発表しました。自動化タスクを実行する際、システムが Shell コマンドを呼び出して GitHub Issue を作成する過程で誤った Bash 指令を構築し、意図せずコマンドインジェクションを引き起こし、大量のセンシティブな環境変数が公開されました。事件では、AI が生成した文字列にバッククォートで囲まれた set が含まれ、Bash によってコマンド置換として解釈され、自動的に実行されました。Bash が引数なしで set を実行すると、現在のすべての環境変数が出力されるため、最終的に 100 行以上のセンシティブな情報（Telegram キー、認証トークンなど）が直接 GitHub Issue に書き込まれ、公開されました。GoPlus は、AI 自動化開発やテストシーンでは、直接 Shell コマンドを結合するのではなく、API 呼び出しを使用することを推奨し、最小権限の原則に従って環境変数を隔離し、高リスク実行モードを無効にし、重要な操作には人間のレビュー機構を導入することを提案しています。

据 Cointelegraph 报道，谷歌威胁分析团队近日披露了一个名为 "Coruna" 的新型 iOS 漏洞利用套件，该套件正被用于针对 iPhone 用户的加密货币盗窃活动。该套件主要针对运行 iOS 13 至 17.2.1 版本的设备，包含 23 个漏洞利用程序和 5 条完整的攻击链，其中部分为此前未知的漏洞。それは偽の暗号通貨関連のウェブサイトを通じて攻撃を実行できます。ユーザーが脆弱性のある iOS デバイスを使用してこれらの悪意のあるウェブサイトにアクセスすると、攻撃コードが自動的に実行され、デバイス内の敏感情報をスキャンします。特に、助記詞、バックアップフレーズ、銀行口座などのキーワードを含むテキストを探し、Uniswap、MetaMask などの暗号アプリから資産を盗もうとします。谷歌研究人员强烈建议 iPhone 用户立即将设备更新至最新的 iOS 版本。若无法更新，应开启苹果系统的 "锁定模式" 以增强防护。

Lido 公式は、ZKsync wstETH ブリッジエンドポイント契約に潜在的な脆弱性が存在すると発表しました。現時点では、この脆弱性が悪用された兆候はなく、ZKsync 上の wstETH 保有者には影響がありません。他のブリッジ契約にも影響はありません。慎重を期して、Lido は ZKsync ブリッジ契約への新しい資金の入金を一時停止しましたが、zkSync からの引き出しやトークンの転送には影響がありません。Lido は修正案を準備しており、この案は次回予定されているオンチェーン Lido ガバナンス総合投票（3 月下旬/4 月初）で監査および展開され、その後入金機能が再開されます。今後の状況に応じて、さらなる更新が発表される予定です。

GoPlus はセキュリティ警告を発表しました。Chrome ブラウザの脆弱性により、悪意のある拡張機能が Gemini パネルを通じて権限を昇格させることができます。すぐに Chrome ブラウザをバージョン 143.7499.192 以上にアップグレードしてください。この脆弱性により、悪意のある拡張機能が Chrome ブラウザ内の Gemini Live パネルを制御し、ユーザーの許可なしにカメラやマイクにアクセスしたり、スクリーンショットを取得したり、ローカルファイルにアクセスしたりすることができます。脆弱性番号は CVE-2026-0628 で、Google は 2026 年 1 月初旬に Windows/Mac バージョン 143.7499.192/.193 と Linux バージョン 143.7499.192 でこの脆弱性を修正しました。すぐに Chrome のバージョンを確認し、アップグレードしてください。

クロスチェーンスマートコントラクトプラットフォーム NeutronNeutron は X プラットフォームで発表し、ホワイトハットハッカーがそのバグバウンティプログラムを通じて脆弱性を発見したことを示しました。この脆弱性を修正するための修正プログラムを導入する予定であり、現在オーダーブックとスーパーボールト（入金、出金など）の機能は一時停止しています。再開は 3 月 9 日を予定しています。Neutron は、現在プラットフォームの資金は安全で影響を受けていないと補足し、ユーザーは特に他の行動を取る必要はないと述べています。