セキュリティインシデント

Laprovenceによると、フランス警察は6月13日午前3時ごろ、マルセイユ近郊で暗号資産を狙った未遂の誘拐・強盗事件に関連して4人の容疑者を逮捕した。容疑者らは13区の住宅に侵入し、暗号資産の保有へのアクセスを得るために2人の女性を人質にしようとした。住民は物音により不審を感じて警察に通報し、容疑者らは逃走したが、証拠として車両のナンバープレートだけが残された。フランス警察は、暗号資産に関連した誘拐犯罪が増加しているとし、2026年の開始以来フランスで、暗号資産の恐喝または拉致に関わるおよそ70件の事案が記録されていると述べた。

2026年6月18日、Solanaにおける10億ドルのUSDCミントが著名なDeFiアプリケーションの停止と衝突し、エコシステムに対する課題が生じました。Driftアプリケーションの未完了の復旧に関する進行中の問題に、ユーザーが直面することで状況はさらに深刻化しました。こうした出来事の重なりは、ユーザーや市場観測者の間で警戒を呼び込み、アプリの信頼性がユーザーの信頼や分散型金融における市場の安定にとって不可欠であるという潜在的な脆弱性を浮き彫りにしました。 USDCミントがDeFiアプリの停止と衝突 2026年6月18日、Solanaは10億ドルのUSDCミントを実行し、これは著名なDeFiアプリケーションの停止と時期が重なりました。これらの出来事のタイミングは、エコシステム内で運用上の課題を生み出し、大規模なミント活動が、匿名の分散型金融プラットフォームによるサービス停止と重なったためです。市場観測者は、このような事象の一致により、高活動期間における連携とインフラの回復力に関する懸念が高まったと指摘しました。 Driftアプリの復旧は未完了のまま ユーザーは、Driftアプリケーショ

プライバシー重視のEthereumスケーリングプロジェクトであるAztecの「Private Rollup Bridge（プライベート・ロールアップ・ブリッジ）」が、オンチェーンの取引データによると、盗まれた資産として約215万ドル相当が悪用されており、内訳は1,158 ETH、150,000 DAI、0.47 renBTCを含む。 セキュリティ研究者Cosによる初期分析では、攻撃者はブリッジの「Escape Hatch（エスケープ・ハッチ）」機構を悪用し、検証者（verifier）が受理した操作されたロールアップ証明を提出することで、コントラクトが保管（カストディアル）の準備金を解放した可能性があるという。この件は、今月初めにプロジェクトの廃止されたConnectシステムが別途悪用されたのに続き、数日以内にレガシーなAztec基盤に関与する2件目の大きなセキュリティ事故を示すものとなる。 攻撃者は「Escape Hatch」機構を悪用した疑い セキュリティ研究者Cosは、攻撃者がRollupProcessorコントラクト内でAztecの「Escape Hatch」機構を悪用したことを

オンチェーンの調査担当者によると、Aztec の Private Rollup Bridge は 2026 年 6 月 17 日に悪用され、約 215 万ドルの損失が発生した。セキュリティ研究者 Cos とブロックチェーンセキュリティ企業 PeckShield の推計によれば、攻撃者は約 1,158 ETH、150,000 DAI、そして 0.47 renBTC をコントラクトから引き出し、管理下のウォレットへ資産を送金したという。 Aztec Foundation は、影響を受けたシステムは 2022 年に非推奨となった Stage 2 ロールアップのサンセットであり、現在の Aztec ネットワークや AZTEC の ERC-20 トークンとは無関係だと明らかにした。チームは、本件を調査中であり、詳細が判明し次第、追加の更新情報を提供すると述べた。

Aztec Labsによると、2021年に影響を受けた、廃止されたAztecの決済プロダクトに関するアップグレード不可のスマートコントラクトの脆弱性から、約$2 millionが送金されたとのことです。チームには当該コントラクトに対する管理権限がなく、停止またはアップグレードすることもできません。このインシデントは、6月14日に報告された別件のAztec Connectの悪用とは無関係です。Aztec Labsは、引き続き状況を監視し、最新情報を提供すると述べています。

Slowmistによると、Aztecの0x737...A2baにあるプライベートロールアップブリッジが、6月18日に3件の不審な取引で悪用され、約215万ドルが流出した。盗難には、1,158 ETH、150,000 DAI、0.46963295 renBTCが含まれていた。

メリーランド州連邦地方検事局（U.S. Attorney's Office for the District of Maryland）によると、ロドニー・バートン（56）は、6月17日、無許可の資金移動（マネートランスミッティング）事業を運営する共謀の罪で有罪を認めた。バートンは「Bitcoin Rodney」として知られ、2020年6月から2022年1月まで、世界的に投資家から約18億ドルをだまし取った暗号資産投資プラットフォームであるHyperFundを宣伝していた。 連邦検察当局は、バートンがこの仕組みから個人的に少なくとも785万ドル相当の利益を受け取ったと主張した。バートンには、連邦刑務所での最大5年の刑が科される可能性があり、量刑手続きは7月23日に予定されている。

ブロックチェーン安全機構SlowMist（SlowMist）は6月18日にTI Alertを発表し、監視の結果、BSCチェーン上のDeFiマイニング・プロトコル「Little Boy Plus」が攻撃を受けたことを確認した。損失は約377,642 USDT（約610.555枚のBNB）。SlowMistによると、今回の攻撃の脆弱性はLBPHashrate.\update()関数に存在する。 脆弱性の根源：LBPHashrate.\update()関数はゼロ値のtransferFromで許可確認を回避できる （出典：Etherscan） SlowMistの技術分析によれば、脆弱性の核心は次のとおりである。攻撃者は取引ペア（pair）のいかなる承認（許可）も取得する必要なく、LBPHashrate.transferFrom(pair, DEAD, 0)（ゼロ値送金）を直接呼び出すことができる。この呼び出しは実際の資産移転を伴わないが、OpenZeppelinの承認（allowance）検証メカニズムを回避し、内部の\harvest(pair)関数の実行を引き起こす。 攻撃の実行経路：ゼロ値

Foresight NewsがSlow Mistのモニタリングを引用し、BSC上のDeFiマイニングプロトコル「Little Boy Plus」がハッキングを受け、約$370,000（610.555 BNB）の損失が発生したと報じた。攻撃はLBPHashrate.update()関数の脆弱性を悪用し、不正なtransferFrom呼び出しによってOpenZeppelinの認可チェックを回避できるようにしたことで、攻撃者が報酬のミントを発動してUSDTを流出させることを可能にした。

フランスのインターネット安全保障機関（ANSSI）は6月17日、耐量子暗号技術に欠ける安全製品について、2027年から認証を停止すると発表し、企業に対して2030年までに量子セキュアな製品だけを調達するよう勧告した。ANSSIの認証がフランス政府機関および重要インフラ運営者にとって必須要件であることから、今回の措置は旧来の暗号システムに実質的な移行期限を設定するものとなる。 ANSSI長官 Souissi がフランス量子会議で行った発言：ガバナンス、産業計画、そして主権の問題 ANSSI長官のサミフ・スーシ（Samih Souissi）は、フランス量子会議で、今回の政策変更が扱うのは技術面だけではないと述べた。「これは単なる技術問題ではありません。ガバナンス、産業計画、規制、そして主権に関わることです。」 スーシは、2027年に認証を停止する期限と、2030年までの調達に関する提言は、業界に十分な転換準備の時間を与えることを目的としている一方で、量子計算が現在の暗号保護に対して持つ体系的な脅威を未然に防ぐ狙いもあると指摘した。 IBMのJerry Chow と Qperfect の脅威

Slowmistによると、DIPトークンのtransfer()関数に欠落していたreturn文が、Pancakeswapを通じてUSDCの$111,098を流出させた。 この欠陥により、ルーター上で送金が2回実行され、skim()およびsync()の呼び出しを使って攻撃者が流動性プールから繰り返し引き出すことが可能になったが、フラッシュローンや盗まれた鍵は不要だった。

CoinDeskによると、本日（6月17日）はThe DAO攻撃から10周年にあたります。この攻撃により、3.6百万ETHが失われ、評価額は約62.6億ドルでした。悪用により、数週間前に指摘されていながら未対応だったスマートコントラクトの脆弱性が明らかになりました。この出来事は、イーサリアムの歴史における重大なハードフォークを引き起こし、ブロックチェーン・エコシステム内でのセキュリティの重要性を改めて示しました。

@OREによる開示によると、Solanaのステーキング・プログラムで、攻撃者が不正な手段により25.5 Solanaを請求できるようにするスマートコントラクトの脆弱性が発生しました。SolanaFloorの発表はユーザーの入金が安全なままであることを確認しましたが、ステーカーは利回り生成を再開するために新しいコントラクトへ移行する必要があります。

Lookonchainによると、UXLINKの攻撃者は過去30分の間に、平均価格$1,764で3,686 ETHを購入するために$6.5 million DAIを費やし、その後資金を混ぜるためにTornado Cashを通して送金した。

ChainCatcherによると、DeFiのストラクチャード・プロトコル「Thetanuts Finance」はセキュリティインシデントに対応し、影響を受けたVaultは数年前に放棄された契約であり、完全に移行済みだと述べた。侵害されたVaultは、現在稼働しているいかなる契約やプロダクトとも関連がない。プラットフォームは推定で約$2.1 millionの損失があったと報告し、さらなる調査を行っているとし、追加の詳細が集まり次第、完全なポストモーテム報告書を公開するとした。

最新のセキュリティレポートによると、SyscoinはUTXOからNEVMへのブリッジに脆弱性があることを開示しており、その結果、UTXO側で約50億SYSが不正にリリースされました。影響を受けた資金は回収され、その後、標準のOPRETURN方式を通じて破棄されることで、将来のプロトコル利用から除外されました。オンチェーンのSYS供給は、想定される水準に回復しています。ブリッジ機能は現在も、チームが最終レビューを完了し修正を行うまで停止したままです。Syscoinは、クロスレイヤーのパースの欠陥に対処すると述べており、クロスレイヤーのシステムは統一されたデータ正規化を実装し、あいまいなブリッジ証明はすべてデフォルトで失敗とみなすべきだと強調しました。