脆弱性

Sui エコシステムの貸付プロトコル Scallop は X プラットフォームで、Scallop の sSUI 報酬プールに関連する附属契約に脆弱性が存在し、約 15 万 SUI の損失が発生したことを発表しました。影響を受けた契約は凍結されています。Scallop は、コア契約は依然として安全であり、sSUI 報酬プールのみが影響を受けていると述べています。他のすべての報酬プールは安全です。Scallop は 100% の損失を全額負担し、できるだけ早くさらなる更新を発表する予定です。

ライティコイン（Litecoin）は、Xプラットフォームで最近のゼロデイ脆弱性がDoS攻撃を引き起こし、主要なマイニングプールの運営に影響を与えたことを発表しました。適時に更新されなかったマイニングノードは、無効なMWEB（MimbleWimble Extension Block）取引が実行されることを許可し、関連するトークンが第三者DEXに引き出される可能性がありました。Litecoinネットワークは、13ブロックの再編成（reorg）を通じてこれらの無効な取引を巻き戻し、それらがメインチェーンに組み込まれないことを確認しました。この期間中、すべての有効な取引は影響を受けておらず、現在、脆弱性は完全に修正され、ネットワークの運営は正常に戻っています。

The Informationによると、AnthropicとOpenAIは相次いでセキュリティ事件が発生し、市場はAIモデル自体の安全性に対する関心を高めている。現在、AnthropicはそのClaude Mythosモデルがユーザーによって無許可でアクセスされた可能性を調査している。ほぼ同時に、OpenAIもそのCodexアプリで、未発表の複数のモデルを意図せず公開してしまったことが報じられた。業界の見解では、これらの脆弱性事件はAI企業のセキュリティガバナンス能力に対する見直しを強化し、現在のAI技術が急速に発展する中で、セキュリティシステムがまだ改善の余地があることを反映していると指摘されている。分析によれば、ネットワークセキュリティ能力を主打ちするAIモデル提供者であっても、自身は依然として大きなセキュリティの課題に直面している。AIが徐々にネットワーク攻撃の防御に使用される一方で、そのプラットフォームの安全性とアクセス制御の問題も同様に重要なリスクポイントとなっている。

The Block の報道によると、モルガン・スタンレーのアナリストは、DeFi のセキュリティ事件が頻発し、総ロックアップ価値（TVL）が ETH での成長が停滞しているため、機関投資家の DeFi への関心が制限され続けていると述べています。報告書によると、最近 Kelp DAO に関連するクロスチェーンブリッジ攻撃により、数日で DeFi の TVL が約 200 億ドル蒸発しました。攻撃者は約 2.92 億ドルの担保なしの rsETH を鋳造し、Aave で本物の ETH を担保に借り入れ、約 2.3 億ドルの不良債権を形成しました。モルガン・スタンレーはまた、セキュリティ事件が発生した後、ユーザーはテザーの USDT に避難する傾向があると指摘しています。

Decrypt の報道によると、Mozilla は最近、Anthropic の最新 AI モデル Claude Mythos が Firefox ブラウザの内部テストで 271 件のセキュリティ脆弱性を特定したことを明らかにし、関連する脆弱性は今週修正が完了した。比較として、以前の別のバージョンの Anthropic モデルは 22 件のセキュリティに敏感な脆弱性しか発見しなかった。Mozilla は、発見されたすべての脆弱性はトップクラスの人間の研究者の発見範囲を超えていないと述べている。Claude Mythos は 2026 年 3 月に正式にリリースされ、Anthropic の推論、コーディング、ネットワークセキュリティ分野で最も強力なモデルであり、現在 "Project Glasswing" プログラムを通じて、アマゾン、アップル、マイクロソフトなどの審査されたパートナーに限定的に使用が許可されている。

市場のニュース：セキュリティ担当者がCosmos CometBFTの0-dayの重大な脆弱性を明らかにし、ブロック同期段階の停止が80億ドル以上の資産に影響を及ぼす可能性があります。

Polygonの公式は、rsETHの脆弱性を積極的に監視していると発表しました：Polygon Chain、Agglayer、そしてKatanaやVaultbridgeを含む全エコシステムは今回の事件の影響を受けていません。Polygonはこれまでに2兆ドル以上の資金を安全に移転しており、今後も事態の進展を注意深く見守っていくとのことです。

LayerZero は X プラットフォームで発表し、rsETH の脆弱性事件を認識しており、事件発生後、KelpDAO チームと積極的に処理と修復を行い、引き続き監視を続けていると述べています。LayerZero は、rsETH に関連する事件を除いて、他のアプリケーションは現在も安全であるとしています。事件の根本原因について、LayerZero は SEAL_Org などと共に調査を進めており、全ての情報を把握した後、KelpDAO と共同で完全な事後分析報告書を発表する意向を示しています。

Hyperbridgeの公式発表によると、Token Gatewayの脆弱性事件による損失は初期の23.7万ドルから約250万ドルに引き上げられました。この増加は主にEthereum、Base、BNB Chain、Arbitrum上のインセンティブプールからの損失によるものです。攻撃者は関連するコントラクトから約245枚のETHを引き出し、その後、偽のクロスチェーンメッセージを使用してMMR証明検証メカニズムを回避し、10億枚のブリッジDOTを鋳造し、流動性の薄い市場に売却しました。現在、一部の盗まれた資金はチェーン上でBinanceに追跡されており、HyperbridgeはBinanceのコンプライアンスチームおよび法執行機関と協力して調査を進めています。PolkadotのネイティブDOTやIntent Gatewayなどの製品には影響がありませんが、Token Gatewayおよび4つの影響を受けたEVMチェーン上のブリッジDOTコントラクトは依然として停止状態です。MMR検証ロジックのパッチは外部監査を進めており、ブリッジ機能は監査が完了次第再開される予定です。

チェーン上分析プラットフォームArkham（@arkham）の監視によると、Bridged Polkadotの脆弱性を利用した攻撃者は、盗まれた資金をすべてTornado Cashに移動させ、金額は約26.9万ドルに達しています。

CriptoNoticiasによると、ある独立したセキュリティ研究者がCoinbase AgentKitにprompt injectionの脆弱性が存在することを明らかにしました。攻撃者は悪意のあるコマンドを通じてAIエージェントを誘導し、承認されていないトークンの転送を実行させることができ、手動確認は不要です。この脆弱性はBase Sepoliaテストネットで実際の取引を通じて検証されました。さらに、研究者はこの脆弱性がERC-20トークンの無限承認プロセスを暴露し、エージェントの同一実行コンテキスト内でリモートサーバーへのアクセス権を持つことを指摘し、リスクをウォレットが空になる以上の範囲に拡大させる可能性があると述べていますが、報告書では具体的にどのインフラが影響を受ける可能性があるかは詳述されていません。この脆弱性は2月にCoinbaseのバグバウンティプログラムに提出され、公式に確認されました。最終的には中程度の危険度として処理され、2,000ドルの報酬が支払われました。しかし、研究者は脆弱性の実際の影響は公式の評価よりもはるかに大きいと強調しています。

安全機関 Innora は報告を発表し、イーサリアム上の資産管理プロトコル Saturn に2つの深刻な脆弱性が存在すると述べています。これには以下が含まれます：引き出し凍結の脆弱性：通常の業務操作の下で、すべてのユーザー資金がロックされる可能性があり、最短で30日、極端な場合は無期限に凍結されることがあります。ハッカーは必要なく、プロトコル自体がトリガーを引くことができます。プロトコル内の特権アドレスは、毎回の操作で最大33.33%の資金を合法的に差し押さえることができます。現在のデータに基づくと、一度の操作で最大約15.7万ドルを差し押さえることができ、理論上の総リスクは426万ドルに達します。Innora は、Saturn の90%以上の資産が特権アドレスによって管理されており、ユーザーは完全に信頼に依存していると述べています。報告書が発表された時点で、この脆弱性はまだ修正されていません。

ブロックチェーン相互運用プロトコル Hyperbridge は、以前の DOT 攻撃事件の詳細を公開し、損失は約 23.7 万ドルであると発表しました。脆弱性の根源は、HandlerV1 コントラクトの VerifyProof() 関数に入力検証が欠如しており、leaf_index leafCount の検証が行われていなかったため、攻撃者が Merkle 証明を偽造できることにあります。攻撃者はこれを利用して、イーサリアム上の DOT トークンブリッジコントラクトの管理者権限を取得し、すぐに 10 億枚のブリッジ DOT を増発しました（合法的な流通量約 35.6 万枚の 2800 倍以上）。そして、分散型取引所で現金化しました。Hyperbridge は、現在安全なパートナーと共に資金を追跡しており、調査が完了するまでクロスチェーン機能は引き続き停止すると述べています。

CoinDeskによると、カリフォルニア大学サンタバーバラ校、カリフォルニア大学サンディエゴ校、ブロックチェーンセキュリティ会社Fuzzland、World Liberty Financialの研究者たちが共同で論文を発表し、「LLMルーター」------ユーザーとAIモデルの間に位置する中間サービス------が暗号資産のセキュリティに重大な脅威となっていると警告しています。研究者たちは、26のLLMルーターが秘密裏に悪意のあるツール呼び出しを注入し、ユーザーの認証情報を盗んでいることを発見しました。そのうちの1件では、顧客の価値50万ドルの暗号ウォレットが空にされました。さらに、研究者たちは「汚染」ルーターエコシステムを通じて、数時間以内に約400台の下流ホストを制御できることを示しました。プライベートキーやAPI認証情報などの敏感なデータがこれらのルーターを介して平文で送信されるため、ユーザーは実際には何も知らずに資産をリスクにさらしています。研究者たちは、マッキンゼーが2030年までにAIエージェントが3兆から5兆ドルのグローバル消費ビジネスを仲介すると予測しているのに対し、バイナンスの創設者であるジャオ・チャンポンもAIエージェントの支払い量が人間の百万倍になると予測していると指摘しています。現在のインフラのセキュリティは業界の発展速度に大きく遅れをとっており、「最も弱い環」となるリスクがシステム的な連鎖危機を引き起こす可能性があります。

PolkadotはXプラットフォームで発表し、チームはHyperbridgeのEthereumゲートウェイ契約に存在するセキュリティ問題に注意を払っていることを明らかにしました。この脆弱性は、Hyperbridgeを介してEthereumにブリッジされたDOTトークンにのみ影響を与え、Polkadotエコシステム内のDOTおよび他のブリッジソリューションには影響しません。PolkadotおよびそのパラチェーンとネイティブDOTは安全を保っています。Hyperbridgeは調査期間中に運営を一時停止しています。ChainCatcherの以前の報道によると、Hyperbridge契約はMMR証明のリプレイ脆弱性に直面し、約24.2万ドルの損失が発生しました。

PolkadotはHyperbridgeの脆弱性事件について、当該脆弱性はHyperbridgeを通じてイーサリアムネットワークにブリッジされたDOT資産にのみ影響を及ぼし、Polkadotエコシステム内のネイティブDOTおよび他のブリッジ経路の資産には関与しないと述べています。公式は、Polkadotメインネットおよびそのパラチェーンは正常に稼働しており、関連資産は安全であるとしています。現在、Hyperbridgeは運用を一時停止しており、事件はさらに調査中です。以前の報道によれば、Polkadotのブリッジの脆弱性が悪用され、イーサリアムネットワーク上で10億枚のDOTが増発され、売却され、攻撃者は23.7万ドルの利益を得たとのことです。

BlockSecの監視によると、Hyperbridgeが管理するHandlerV1契約がイーサリアムネットワーク上でMerkle Mountain Range（MMR）証明のリプレイ脆弱性を示し、約24.2万ドルの損失を引き起こしました。この脆弱性は、証明とリクエストがバインドされていないことに起因し、攻撃者は過去の有効な証明をリプレイし、新しい偽造リクエストと組み合わせて、管理者権限の変更などの操作を実行できます。具体的なケースでは、攻撃者はPolkadot（DOT）トークンの管理者を変更した後、その権限を利用してDOTを増発し、利益を得ました。関連する攻撃取引には、DOTトークンの管理者変更および増発（約23.74万ドルの損失）、ARGNトークンの管理者変更および増発（約3,800ドルの損失）、およびホストの出金などが観測されています。以前の報道によれば、Hyperbridgeゲートウェイ契約が攻撃を受け、10億枚のDOTがイーサリアム上で増発されて売却されました。

派盾の監視によると、10億枚のDOTトークンがイーサリアムチェーン上で異常に増発され、売却されました。チェーン上のデータによると、約1時間前、攻撃者は管理者権限を改ざんし、契約の制御権を悪意のあるアドレスに移転させ、その後10億枚のDOTを増発し、即座に売却しました。その結果、コインの価格は1.22ドルからほぼゼロに暴落しました。現在、この事件はまだ続いており、ポルカドットの公式はまだ反応を発表していません。今回の攻撃の対象はイーサリアム上のブリッジ資産であり、ポルカドットのネイティブチェーンではありません。

市場の情報によると、カリフォルニア大学の研究者たちが最近、一部のサードパーティ製AI大型言語モデル（LLM）ルーターに安全リスクが存在し、暗号通貨資産が盗まれる可能性があることを明らかにしました。研究によると、LLMルーターはAPIの仲介として、平文情報を読み取ることができ、一部のルーターは悪意のあるコードを注入し、認証情報を盗むことが発見されました。チームは28の有料ルーターと400の無料ルーターをテストし、9つのルーターが積極的に悪意のあるコードを注入し、2つがトリガーを回避するために展開され、17がAmazon Web Servicesの認証情報にアクセスし、さらには研究者のイーサリアムの秘密鍵を通じてETHを移転するルーターもありました。研究は、ルーターの悪意のある行動は検出が難しく、一部のAIエージェントフレームワークの「YOLOモード」が自動的にコマンドを実行できるため、安全リスクが増加することを指摘しています。研究は、開発者に対して秘密鍵やリカバリーフレーズをAIエージェントを通じて送信しないようにし、AI企業に対して応答に暗号署名を行うよう呼びかけています。

公式の発表によると、分散型GPUクラウドコンピューティングインフラプラットフォームAethirは、Ethereum関連のブリッジ契約が攻撃を受けたことを確認しました。チームは影響を受けた契約を迅速に切断し、主要な取引所と連携してハッカーのウォレットをブラックリストに登録し、損失を9万ドル以内に抑えました。以前、ブロックチェーンセキュリティ会社PeckShieldは損失を40万ドルと推定しており、攻撃者はAethirのクロスチェーンスマートコントラクトAethirOFTAdapterを利用して、盗まれた資金をBNBチェーンからTronに移動させました。Aethirは、EthereumメインネットのATHトークン供給には影響がないと述べており、来週詳細な補償プランと事件分析を発表する予定です。また、Binance、Upbit、Bithumbなどの取引所と協力して資金を凍結します。Web3セキュリティプラットフォームZeroShadowが調査に参加しています。Aethirは2025年に収益1.278億ドルを実現し、世界中に44万以上のGPUコンテナを展開する予定です。