脆弱性

CoinDesk の報道によると、Anthropic Opus 4.8 AI モデルを利用して Zcash の深刻な脆弱性を発見したセキュリティエンジニアの Taylor Hornby は、Monero（XMR）を監査リストに追加し、今後さらに多くのプライバシーコインプロジェクトのセキュリティ審査を行う予定であると述べています。Hornby は、5 月 29 日に Zcash Orchard プライバシープールに重大な脆弱性が存在することを発見しました。この脆弱性は 2022 年 5 月以来発見されておらず、理論的には攻撃者が無限に偽の ZEC を発行でき、検出されない可能性があります。開発を担当する Shielded Labs は 6 月 1 日までに緊急修正を完了し、その後脆弱性の詳細を公開しました。この事件の影響で、ZEC は発表後 24 時間以内に一時 38% 下落し、市場は攻撃者がこの脆弱性を利用してプライバシープールから資金を盗んだ可能性を懸念しています。Hornby は、今年 4 月に非営利団体 Shielded Labs に委託され、攻撃者が発見する前にプロトコルの脆弱性を特定する責任を負っていました。脆弱性を利用して利益を得る条件が整っていたにもかかわらず、彼は開発チームに問題を報告することを選び、「このような裏切りは受け入れられない」と述べました。さらに、Hornby は Zcash コミュニティの資金援助を申請し、今後のセキュリティ研究を支援する計画です。

Dragonflyの管理パートナーであるHaseebは、最近修正されたZcashの脆弱性についての投稿で、市場にはこの事件に関する多くの誤解が存在すると述べています。彼は、脆弱性が修正される前に利用されたとしても、攻撃者はプライバシープール内のZECを偽造することでしか利益を得られず、これらのトークンが主流の取引所に入るためには、プライバシーアドレスから透明アドレスへの変換を完了する必要があると指摘しました。透明アドレス内のZECの供給量は公開検証可能であり、最大供給量を超える異常な転出は発見され、阻止されるため、透明なZECを保有する投資家や取引所のユーザーの大多数は影響を受けないでしょう。Haseebは、Zcashチームが今後のアップグレードで新しい「ターンスタイル」メカニズムと新しいプライバシープールを導入し、現在のプライバシープールにインフレ問題が存在しないことを検証する計画であると述べました。彼はまた、形式的に検証された暗号システムが設計レベルで実装エラーを減少させることができると述べました。Haseebは最後に、Dragonflyが現在もZECを保有しており、彼自身もZODLの投資家であることを明らかにしました。

DragonflyのパートナーであるHaseebは、最近修正されたZcashの脆弱性についてツイートで明確にしました。彼は、この脆弱性が修正される前に利用された場合（確率は非常に低いですが）、プライバシープールが偽のZECを鋳造する形で現れると述べました。攻撃者は迅速に売却する必要がありますが、市場では主に透明なZECが取引されているため、解読されていないプライバシーZECを主流の取引所で直接売却することはできません。したがって、損失は主にプライバシーZECを保有しているユーザーが負担し、透明なZECの保有者や価格発見にはほとんど影響を与えません。Haseebは、Zcashチームが次回のアップグレードで新しいターンスタイルメカニズムと全く新しいプライバシープールを導入し、プライバシープールが膨張していないことを検証することを強調しました。彼はまた、形式的検証技術に期待を寄せており、これは全業界のソフトウェアセキュリティを向上させるための重要な道であり、特にプライバシー協定にとって重要であると考えています。

THORChainのブログによると、ZECはTHORChainのラインアップにありますが、Zcashが最近公開した脆弱性のため、既存のパッチが統合者の正常な使用に影響を与えています。THORChainは、Bifrostモジュールのコードの一部を修正する必要があります。開発チームは修正の幅は非常に小さいと述べていますが、ZECのローンチ前に完了する必要があります。現在、Monero（XMR）は今月末にローンチ予定で、ZECはその後に続きます。

ZEC 財庫会社 Cypherpunkは X プラットフォームで ZEC トークン市場の変動に応じて発表し、すべてのソフトウェアには脆弱性が存在すると述べ、歴史的にビットコインは誤って「多くの」1,840 億 BTC を鋳造したことがあると指摘しました。しかし、これはブロックチェーン技術を放棄すべきだということではなく、形式的検証と証明可能な正確性を通じて安全性を強化すべきだとしています。Cypherpunkは、AI 技術の発展に伴い、脆弱性検出がより迅速かつ広範囲に行われるようになると強調しましたが、重要なのは悪意のある行為者よりも早く問題を発見できる人が誰であるかです。Zcashは、今後発表される更新を通じてこの能力を示すことができます。以前の報道によると、プライバシーコイン ZEC は無限増発を引き起こす可能性のあるセキュリティ脆弱性が発覚し、市場での売りが発生し、コイン価格は一時的に1日で50%以上下落しました。

BitMEXの共同創設者、MaelstromファンドのCIOアーサー・ヘイズ（@CryptoHayes）は、ZECのOrchard Poolが脆弱性攻撃を受けたため、全ての$ZECポジションを清算したと発表しました。ヘイズは、悪意のある鋳造の可能性は極めて低いものの、暗号学的な観点からそれが不可能であることを正式に証明することはできないと指摘しました。プライバシーの物語が求めるのは「完璧」であり、「高い確率の安全」ではないと述べました。また、今後の仮定が反証された場合、より低い価格で再度購入する可能性を排除しないとも言っています。現在、彼のチームは$WLDポジションを保持しており、強気の姿勢を維持しています。

テイラー・ホーンビーは2026年5月29日にZcashのOrchard資金プールに重大な偽造の脆弱性が存在することを発見しました。テイラー・ホーンビーはこの脆弱性をZcash Open Development Labに報告し、関係者は6月2日に修正を完了しました。この脆弱性は、Zcash Orchard内で秘密裏に無限の偽造ZECを作成するために悪用される可能性がありました。Orchardのプライバシー特性により、修正前にこの脆弱性が悪用されたかどうかを暗号学的に証明することはできません。脆弱性は2022年5月のOrchardの有効化以来存在しており、2026年6月1日に緊急修正が展開されるまで続いていました。テイラー・ホーンビーはAIツールの支援を受けて、完全なエクスプロイトを作成し、ローカルテスト環境で無限かつ検出不可能な偽造ZECを生成しました。現在、Shielded Labsは他のZcash開発者と協力して、誰でもZcashの供給の完全性を検証できるようにするネットワークアップグレード提案を探求しています。

The Block の報道によると、Ledger 傘下の Donjon セキュリティチームは、実験室環境下で精密レーザー攻撃を通じて Trezor Safe 7 に使用されている TROPIC01 チップのファームウェア検証メカニズムを回避し、攻撃者がデバイスの実物を持っている前提で未承認のファームウェアをロードできることを確認しました。チップメーカーの Tropic Square は、PIN 検証に使用される MAC-and-Destroy セキュリティメカニズムに追加の攻撃経路が存在することをさらに発見しましたが、強化版チップが 2026 年末に発売される前に詳細は公表しない予定です。Trezor は、PIN、リカバリーフレーズのバックアップ、および秘密鍵は決して単一のチップに保存されていないと述べており、パートナーに通知済みで、一般ユーザーは操作する必要はありません。現在、チップの MAINTENANCE モードをオフにすることで攻撃の実行可能性を低下させることができます。

Zcash（ZEC）財団の公式発表によると、独立したセキュリティ研究者のテイラー・ホーンビーが5月29日にZcashのOrchardゼロ知識証明回路に深刻な信頼性の脆弱性が存在することを発見し、Orchardプール内での二重支払いを許可する可能性があるとのことです。ZODLのコアエンジニアは数時間以内に問題を確認し、修正を開始しました。時間を稼ぐために、まずZebra 4.5.3の緊急ソフトフォークを通じて6月2日の午前中にOrchard操作を一時的に無効化し、最終的に本日Zebra 5.0を通じてNU6.2ハードフォークを有効化しました------北京時間の正午12:05に、メインネットはブロック高3,364,600で無事にアップグレードを完了し、修正された回路でOrchardを再度有効化し、脆弱性は永久に閉じられました。これはZcashが2016年にローンチして以来、セキュリティ問題によりプロトコルのアップグレードが発生したのは二度目であり、全過程で既知の悪用は発生しておらず、ネットワークの総量守衛メカニズムは総供給量が常に完全であることを確認し、ユーザーのプライバシーやSapling、透明な取引には影響がありませんでした。

Zcash財団は、共識レベルのセキュリティ脆弱性を修正するためにZebra 4.5.1バージョンの更新を発表し、すべてのノードオペレーターに即座にアップグレードすることを強く推奨しています。この脆弱性の番号はGHSA-2prc-cj5x-4443で、P2SHトランザクションにおけるsigop（署名操作数）カウントの誤りに関連しており、潜在的なコンセンサスフォークのリスクを引き起こす可能性があります。この修正は、昨日リリースされた4.5.0バージョンでの不完全な修正を訂正するものです。Zcash開発チームは、問題がsigopカウントロジックの異なる実装間の偏差に起因していることを示しており、これによりノードがトランザクションを検証する際に異なる結果を生成し、チェーン上のコンセンサスの一貫性に影響を与える可能性があると述べています。修正案は、Rust実装ロジックをロールバックし調整することで、プロトコルの期待される動作と一致させることを確保しています。Zcash財団は、現在この問題を回避する解決策は存在せず、4.5.1へのアップグレードがノードが正しいチェーンに留まり、潜在的なフォークリスクを回避する唯一の方法であると強調しています。

The Block の報道によると、Gnosis の共同創設者兼 CEO マーティン・コッペルマンは、Gnosis Pay に関連する Zodiac delay module が攻撃を受けていることを確認しました。攻撃者は、このモジュールを統合した Safe ウォレットから取引を開始することができます。Gnosis はリスクを制御するためにクロスチェーンブリッジのバリデーターに一時停止を要請しました。コッペルマンは、Gnosis が全てのユーザーの損失を負担し、ユーザーに対して EURe と GNO の緊急引き出しを求める以前の発表を削除すると述べました。ほとんどのユーザーが自力でコインを引き出せないため、チームは大部分の損失を制御するために努力しており、全てのユーザーに全額補償を確保することを目指しています。Gnosis は、今回の脆弱性が Gnosis Pay システム内に存在し、Safe のコアコントラクトには影響がないことを強調しました。

The Blockの報道によると、Sui財団は最近のメインネットの3回の中断に関する事故分析報告を発表し、先週の木曜日と金曜日に発生した3回のネットワーク中断をv1.72バージョンのアップグレードによって導入された2つの独立した脆弱性に起因するとしています。最初の中断は約6時間半続き、2回目と3回目はそれぞれ金曜日の朝と午後に発生しました。最初の2回の中断は、v1.72によって導入された「アドレス残高」機能が取引手数料の支払い方法の欠陥を露呈したことに起因しています。資金不足で取引がキャンセルされた場合でも、ネットワークはこれらの資金を支出し続け、負の残高が発生し、検証ノードの照合プロセスが崩壊しました。財団は、木曜日に緊急で推送された一時的な修正案に既知の中断リスクが含まれていることを認め、チームは迅速にチェーン上のサービスを復旧させるためにそのリスクを受け入れました。その結果、金曜日の朝にネットワークが再度中断しました。3回目の中断は、別の未公開のランダム状態の脆弱性によって引き起こされ、検証ノードが修正パッチをインストールするために再起動した際に発生しました。Suiはユーザーの資金がリスクにさらされたことはないと述べ、2つの脆弱性を修正し、停滞したエポックを強制的に終了させるメカニズムを構築しました。財団はまた、彼らの生産システムにアクセスできるAIエージェントが診断プロセスを大幅に加速させたと述べています。

DxSale.Network は X プラットフォームで以前のセキュリティ事件に対する声明を発表し、最近の脆弱性がバイナンススマートチェーン（BSC）で新たに導入された原子取引機能に起因していることを明らかにしました。この問題は 2021 年に導入された v1 ロック契約に影響を与えました。チームは問題の発生源を特定し、v2 及びそれ以上のバージョンのロック契約は完全に安全であり、Certik の監査を通過したと述べています。ユーザーは安心して、v2 及びそれ以上のロック資産が影響を受けないことを確認できます。

Zcash財団は、ノードクライアントZebra 4.5.0のバージョンアップデートを発表しました。今回のバージョンには、複数のセキュリティ修正が含まれており、その中には共通の重要な脆弱性と複数の高リスクなサービス拒否（DoS）問題が含まれています。すべてのノード運営者に対し、直ちにアップグレードすることを強く推奨します。今回のコア修正には、P2SHスクリプト解析におけるsigopカウントエラー（zcashdとのコンセンサスフォークを引き起こす可能性がある）、NU5ブロック検証キャッシュロジックの欠陥、透明アドレスの残高オーバーフローによるクラッシュリスク、さらに複数のRPCインターフェースおよびメモリプール処理におけるクラッシュとリソース枯渇の脆弱性が含まれています。さらに、一部の脆弱性は悪意のあるノードによって利用され、ノードがフリーズしたり、再起動ループに陥ったり、さらには永久に動作を停止する可能性があります。

SlowMist の監視によると、ONTR トークン契約は onlyOwner 修飾子にアクセス制御の脆弱性が存在し、49.4801 枚の WETH、約 9.8 万ドルの損失を引き起こしました。攻撃者 (0xe806...b760) はこの脆弱性を利用し、owner が address(0) の時に権限チェックを通じて transferOwnership() を呼び出し、攻撃者の契約を owner に設定しました。その後、desertJasper() を呼び出して隠れた残高をキューに追加し、さらに glenFlash() を呼び出して ashBud() を実行し、アドレスの残高を 1e30 基本単位増加させましたが、totalSupply は増加しませんでした。攻撃者は膨張したトークンを PancakePair (0xd46d...83fd) に移動し、swap() を通じて WETH に交換しました。

CryptoQuant のアナリスト MorenoDV_ が投稿した内容によると、ビットコインの最近の価格動向には危険な乖離が見られる。バイナンスのテイカーの買い入れ量は継続的に減少し、数ヶ月ぶりの低水準を記録しており、市場の積極的な買い意欲が明らかに減少している。一方で、バイナンスの資金調達率は再び正の範囲に回復しており、トレーダーがレバレッジを使ってロングポジションを増やしていることを示している。歴史的な傾向は、資金調達率が上昇し現物需要が同時に縮小することが、しばしば市場が後期の投機段階に入る信号であることを示している------レバレッジによって駆動される市場は現物資金の支えが不足しており、構造的に脆弱である。もし買い圧力が効果的に回復しなければ、現在の資金調達率の上昇は市場の強さではなく、潜在的なリスクをより反映している可能性がある。

慢雾の創設者余弦はXプラットフォームでSquidのセキュリティ事件について解説を発表しました。彼はサンプリングの結果、関連するSafeウォレットはすべてシングルサインで、オーナーも異なることを示しましたが、問題はプライベートキーにはなく、これらのSafeアドレスで使用されているモジュール（SquidRouterModule）に脆弱性が存在することにあります。攻撃者はメッセージを偽造し、関連する検証を簡単に回避して、後続の交換操作を開始し、ターゲットのSafeウォレット内の資金を移動させることができます。さらに、余弦は攻撃者の利益が蓄積されたアドレス情報も公開しました。以前の情報によれば、ある第三者のGnosis SafeモジュールがBaseとイーサリアム上で悪用され、約320万ドルの損失を引き起こしました。被害者はこの契約を信頼されたSafeモジュールとして追加した86のGnosis Safeです。この契約はBasescan上で「SquidRouterModule」として知られており、その後SquidはGnosis Safeに関連する脆弱性事件の影響を受けていないことを明らかにしました。

StablR の公式が X プラットフォームで発表し、傘下のユーロステーブルコイン EURR と米ドルステーブルコイン USDR に影響を与えるセキュリティ脆弱性を特定したことを示し、現在その脆弱性を積極的に制御し、影響を軽減している。ユーザーとユーザー資金の安全を守ることが最優先事項であり、関連問題を確認次第、詳細と今後の対策をできるだけ早く発表する予定である。以前の報道によれば、StablR のステーブルコインは攻撃を受けてペッグが外れ、攻撃者は約 280 万ドルの利益を得た。

GoPlusの分析によると、ステーブルコインプロトコルStablRは、イーサリアム上のマルチシグ契約のセキュリティ設定の問題（マルチシグの閾値が1）および保有者の秘密鍵が盗まれたことにより、StablR $EURR、$USDRステーブルコインが20%脱ペッグし、攻撃者は約280万ドルの利益を得た。