脆弱性攻撃

Aaveは複数の機関と共同で「DeFi United」救助プログラムを開始し、KelpDAOの脆弱性攻撃によって発生した約2.92億ドルの損失に対処し、不良債権の拡大を防ぎます。攻撃はLayerZeroとの統合の脆弱性に起因し、ハッカーは無担保のrsETHを偽造し、Aaveで約1.9億ドルの資産を担保として借り入れたため、担保が歪み、取り付け騒ぎを引き起こし、プラットフォームのTVLは一時的に約100億ドル消失しました。現在、Lido Finance、EtherFiおよび創設者のStani Kulechovが資金注入案を提案しています。Arbitrumは一部の資金を凍結しましたが、残りの資産はTHORChainを通じて移転されており、回収は困難です。現在の重点は共同資金注入による「穴埋め」であり、DeFi貸出システムの安定を図っています。

チェーン上分析プラットフォームArkham（@arkham）の監視によると、Bridged Polkadotの脆弱性を利用した攻撃者は、盗まれた資金をすべてTornado Cashに移動させ、金額は約26.9万ドルに達しています。

公式の発表によると、分散型GPUクラウドコンピューティングインフラプラットフォームAethirは、Ethereum関連のブリッジ契約が攻撃を受けたことを確認しました。チームは影響を受けた契約を迅速に切断し、主要な取引所と連携してハッカーのウォレットをブラックリストに登録し、損失を9万ドル以内に抑えました。以前、ブロックチェーンセキュリティ会社PeckShieldは損失を40万ドルと推定しており、攻撃者はAethirのクロスチェーンスマートコントラクトAethirOFTAdapterを利用して、盗まれた資金をBNBチェーンからTronに移動させました。Aethirは、EthereumメインネットのATHトークン供給には影響がないと述べており、来週詳細な補償プランと事件分析を発表する予定です。また、Binance、Upbit、Bithumbなどの取引所と協力して資金を凍結します。Web3セキュリティプラットフォームZeroShadowが調査に参加しています。Aethirは2025年に収益1.278億ドルを実現し、世界中に44万以上のGPUコンテナを展開する予定です。

中国工業情報化部のネットワークセキュリティ脅威および脆弱性情報共有プラットフォーム（NVDB）が監視したところ、攻撃者がApple社の端末製品に対する脆弱性を利用した攻撃活動を行っており、情報の盗取やシステムの制御などの深刻な危害を引き起こす可能性があります。影響範囲には、iOS 13から17.2.1を実行しているiPhone、iPadなどのApple社の端末製品が含まれます。攻撃者は、SMS、メール、またはウェブページの毒入れなどの方法を通じて、ユーザーを誘導し、Safariブラウザを使用して悪意のあるコードを含むウェブページにアクセスさせ、端末デバイスに存在するセキュリティ脆弱性を総合的に利用して、被害を受けた端末製品にリモートコントロールのトロイの木馬を植え付け、ユーザーの敏感情報を盗み、最高権限を取得して制御します。Apple社の端末製品を使用しているユーザーには、リスクの調査を行い、できるだけ早くバージョンをアップグレードし、パッチをインストールするなどの方法で脆弱性を修正することをお勧めします（Apple社のセキュリティ更新のお知らせを参照してください）。システム更新通知やApple社が発表した最新のセキュリティ更新のお知らせに注意し、最新の安全バージョンに適時アップグレードし、使用の安全意識を強化し、不明なリンクをクリックしないようにし、ネットワーク攻撃のリスクを防ぎましょう。

DriftはXプラットフォームで、脆弱性攻撃に関連する重要な情報を確認したと発表しました。Driftは現在、アドレス(0x093...C105)から盗まれた資金を持つ4つのETHウォレットに対してオンチェーンメッセージを送信しており、対話の準備ができていることを伝え、相手にBlockscanチャットを通じて連絡するよう求めています。Driftは第三者の帰属が完了した後、コミュニティにさらなる更新を共有する予定です。以前の報道によると、SolanaエコシステムのDrift Protocolが攻撃を受け、少なくとも2億ドルの損失が発生しました。

慢雾の最高情報セキュリティ責任者 23pds（山哥）は X プラットフォームで投稿し、LiteLLM の脆弱性を利用した攻撃者が約 300GB のデータを盗み、約 50 万の認証情報を盗んだとの情報があると述べました。彼はすべての暗号通貨開発者に対し、直ちに確認を行い、関連するキーと認証情報をできるだけ早くローテーションし、ログ、アクセス記録、および機密データの漏洩状況を確認することを推奨しています。Trust Wallet の事件のような損失を避けるためです。以前の情報によると、毎月のダウンロード数が 9700 万回に達する LiteLLM はサプライチェーン攻撃を受け、簡単にインストールすることで SSH キーなどのすべての機密情報を盗むことができます。

据 CertiK 统计，综合二月发生的所有加密领域安全事件，已确认因漏洞攻击造成的损失约为 3,570 万美元，其中约 850 万美元归因于钓鱼攻击。这一数字是自 2025 年 3 月以来最低的月度损失额。

据 The Block 报道，跨链流动性协议 CrossCurve（原名 EYWA）确认其跨链桥协议"正遭受攻击"，原因是其智能合约中的一个漏洞被利用，导致约 300 万美元资金被跨多个网络窃取。区块链安全机构 Defimon Alerts 发现，此次攻击的攻击途径是 CrossCurve 的 ReceiverAxelar 合约中的网关验证绕过漏洞。分析显示，任何人都可以使用伪造的跨链消息调用该合约的 expressExecute 函数，从而绕过预期的网关验证，并触发协议 PortalV2 合约上的未经授权的代币解锁。该协议由 Curve Finance 创始人 Michael Egorov 支持，此前已融资 700 万美元。

Aperture Finance は X プラットフォームで、Aperture V3/V4 コントラクトに影響を与える脆弱性の悪用事件を検知したと発表しました。新たな承認の発生を防ぐため、フロントエンドアプリケーションでコア機能を停止し、セキュリティパートナーと共に事件の根本原因を調査しています。ウォレットの安全を確保するため、以下のコントラクトアドレスに対するすべての承認を直ちにイーサリアムメインネットで取り消してください：0xD83d960deBEC397fB149b51F8F37DD3B5CFA8913。以前の情報では、Aperture Finance が攻撃を受け、約 367 万ドルの損失を被ったことが確認されています。

Sonic は X プラットフォームで、2025 年 11 月初めに Beets が脆弱性攻撃を受けたと発表しました。Sonic Labs チームは 5,829,196 枚の S を成功裏に回収し、現在、影響を受けたすべてのユーザーに資金を比例配分しています。

CertiK Alert の監視によると、12 月の暗号分野での脆弱性攻撃による損失は約 1.178 億ドルで、そのうち約 9,340 万ドルはフィッシング攻撃に起因し、フィッシングによる損失の約 5,180 万ドルはアドレスポイズニングに起因しています。

据 The Block 报道，HumidiFiYearn Finance 发布了针对上周 yETH 漏洞攻击的详细事后报告，指出其遗留的 stableswap 流动性池中存在一个三阶段数值错误，该错误导致攻击者能够 "无限铸造" LP 代币，并从该流动性池中盗取了约 900 万美元资产。Yearn 确认，已在 Plume 和 Dinero 团队的协助下，成功追回 857.49 枚 pxETH，约占被盗资产的四分之一。团队计划将追回的资金按比例分配给 yETH 的储户。该去中心化金融协议表示，该漏洞攻击发生在 2025 年 11 月 30 日的区块 23,914,086，攻击者通过复杂的操作序列，迫使流动性池的内部解析器进入发散状态，并最终触发算术下溢。该攻击目标是聚合多种流动性质押代币（LSTs）的自定义 stableswap 池，以及一个 yETH/WETH Curve 池。Yearn 强调，其 v2 和 v3 保险库及其他产品未受影响。为解决这些问题，Yearn 公布了修复计划，包括在解析器上实施明确的域检查、用受检查的算术代替关键部分中的不安全算术、以及在池上线后禁用引导逻辑等。

据派盾监测，Bunni 攻击者地址向 TornadoCash 存入 2,295.8 枚 ETH（价值 730 万美元）。此前，Bunni 团队在 9 月 2 日遭遇漏洞攻击，损失约 840 万美元。该团队已宣布将于 10 月解散。

据慢雾余弦披露，部分用户可能未收到 Monad 空投，建议检查此前在空投领取页面 claim.monad.xyz 绑定的钱包地址是否为预期地址。余弦表示，如果绑定地址并非用户预期，可能遭遇了与用户 Onefly（@Onefly）类似的问题------钱包地址被黑客绑定为黑客地址，导致官方将空投发放给了黑客。据余弦透露，此前有白帽黑客曾向其同步过一个相关漏洞，该漏洞存在前置条件：如果有人劫持了用户在 Monad 空投领取页面的会话，可以在无需进一步确认的情况下更改领取钱包地址。

公式の発表によると、Balancerは脆弱性攻撃事件の初期報告を発表し、Balancer V2のコンポーザブルステーブルプールが11月4日に複数のチェーン（Ethereum、Base、Avalanche、Polygon、Arbitrumなど）で攻撃を受けたことを示しています。脆弱性は、バルク交換におけるEXACT_OUT取引の四捨五入ロジックの誤りに起因しており、攻撃者はこのメカニズムを利用してプール内の残高を操作し、資産を引き出しました。この事件はBalancer V2のコンポーザブルステーブルプールにのみ影響を与え、Balancer V3および他のプールタイプには影響がありませんでした。Balancerチームはセキュリティパートナーおよびホワイトハットチームと迅速に行動し、Hypernativeによる自動停止、資産の凍結、SEALフレームワーク下でのホワイトハット介入などの措置を通じて、攻撃の拡大を抑制し、一部の資産を回収しました。その中で、StakeWiseは約73.5%の盗まれたosETHを回収し、BitFindingやBase MEVボットなどのチームも一部の資金回収を支援しました。現在、BalancerはSEAL、zeroShadowなどのセキュリティパートナーと共にクロスチェーントラッキングと資金回収を行っており、最終的な損失および回収データは完全な技術的振り返り報告書で発表される予定です。公式はユーザーに対し、Balancerの公式チャネルを通じて確認情報を取得するように警告しており、V3および非ステーブルプールの操作は引き続き安全であるとしています。

StakeWise DAO の緊急マルチシグは、一連の取引を成功裏に実行し、Balancer の脆弱性攻撃者から約 5,041 枚の osETH（約 1,900 万ドル相当）と 13,495 枚の osGNO（約 170 万ドル相当）を回収しました。回収された osETH は盗まれた総量の 73.5% を占め、osGNO は全て回収されました。回収できなかった osETH の一部は、攻撃者によって迅速に ETH に変換されました。StakeWise は、回収された全ての資金は脆弱性攻撃前のユーザーの残高比率に従って影響を受けたユーザーに返還されると述べており、詳細な事後分析報告書は近日中に発表される予定です。

Balancer プロトコル発表のお知らせBalancer の V2 Composable Stable Pools が脆弱性攻撃を受けたことを確認しました。Balancer チームは、トップセキュリティ研究者と協力して調査を開始し、できるだけ早く完全な事後分析報告を共有することを約束しました。現在、すべての一時停止可能な影響を受けたプールは緊急凍結され、回復モードに入っています。Balancer は、この脆弱性が V2 Composable Stable Pools のみに限定されており、Balancer V3 や他のプールタイプには影響しないことを強調しています。チームはまた、Balancer セキュリティチームを装った詐欺情報に対してユーザーに警戒するよう警告しています。公式の更新は、彼らの X (Twitter) 公式アカウントと Discord サーバーを通じてのみ発表されます。

Balancer チームは、Balancer v2 プールに影響を与える可能性のある脆弱性攻撃を発見したと発表しました。彼らのエンジニアリングおよびセキュリティチームは、この事件を高優先度で調査しており、さらなる情報を得次第、確認済みの更新と今後の措置を共有する予定です。