PANews 3月2日報道、GoPlus中国語コミュニティは警告を発表しました。OpenClaw Gatewayには高危険度の脆弱性が存在します。直ちに2026.2.25以降のバージョンにアップグレードし、監査を行い、Agentインスタンスに不要な証明書、APIキー、ノード権限を取り消してください。分析によると、OpenClawはローカルホストにバインドされたWebSocket Gatewayを通じて動作しており、このGatewayはAgentのコア調整層としてOpenClawの重要な構成要素です。今回の攻撃はGateway層の弱点を狙ったもので、条件は一つだけです:ユーザーがブラウザでハッカーが制御する悪意のあるウェブサイトにアクセスすることです。
攻撃の全体の流れは以下の通りです:
- 被害者がブラウザで攻撃者が制御する悪意のあるウェブサイトにアクセス;
- ページ内のJavaScriptがローカルホスト上のOpenClawゲートウェイにWebSocket接続を試みる;
- その後、攻撃スクリプトは毎秒数百回のブルートフォース攻撃でゲートウェイのパスワードを破解しようと試みる;
- 破解に成功すると、攻撃スクリプトは静かに信頼されたデバイスとして登録される;
- 攻撃者はAgentの管理者レベルの制御権を獲得する。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
暗号資産のハックは、過去10年間で518件のインシデントを通じて$17.1 billionを盗み取った
ゲートニュース記事、4月28日 — ChainCatcherのデータによると、過去10年間における暗号資産のハッキングによる累積損失は、518件のインシデントにわたって$17.1 billionに達しました。
過去5年間では、450件超のインシデントから$15.2 billionの損失が発生した一方、過去1年では約$2.5 billionが140件超のインシデントを通じて盗まれました。これは、攻撃の頻度がそれ以前の10年間に比べて加速していることを示しています。
最近の分析では、暗号資産への攻撃は、スマートコントラクトの脆弱性を悪用することから、プライベートキーの窃取やアクセス制御の不備を狙うことへと移行しており、攻撃手法における注目すべき変化を示しています。
GateNews4時間前
AI主導の暗号資産詐欺で高齢者の$300K 退職金が流出。FBIが2025年の暗号資産詐欺による損失を報告
Gate Newsメッセージ、4月28日――ニューヨーク出身の73歳のKyle Holderさんは、2024年12月に始まったAI主導の暗号資産投資詐欺によって退職金の全額30万ドルを失った。暗号資産投資コースを宣伝する、心当たりのないWhatsAppメッセージに返信したところ、彼女は「ニム("Niamh")」という名のシングルマザーだと名乗る人物と、顧客サービス担当者だと名乗る人物につながされた。おなじみの「豚の丸焼き(pig butchering)」と呼ばれる詐欺の手口で、詐欺師たちはHolderが暗号資産ウォレットを用意するのを手助けし、最初は架空の利益を見せて信用を築いた。2か月間で、彼女は合計14の異なるウォレットへ30万ドルを送金した後、詐欺だと気づいた。IRSの犯罪捜査ニューヨーク支局は、これら14のアドレスが、複数の被害者から約millionをだまし取っていた5つのウォレットへ資金を流していたことを追跡した。捜査当局は、犯人がダークウェブ上で利用できるAIツールを使って個人情報を収集し、脆弱なターゲットを特定したとみている。
FBIのインターネット犯罪苦情センター(IC3)は、2025年に453,000件のサイバー関連の詐欺苦情を受け取っており、総損失はbillionに達した。暗号資産関連の詐欺は最もコストのかかるカテゴリで、181,565件の苦情にまたがるbillionの損失を占めた。FBIはAIツールに関連する22,364件の苦情を特定しており、これによる合計損失はmillionだった。別件では、4月23日に言い渡された判決として、北マリアナ諸島の連邦裁判所が、ビットコインを使ったワイヤ詐欺の計画に関与したSze Man Yu Inosに対し、サイパン、グアム、ワシントン、カリフォルニアの高齢女性を狙ったとして禁錮71か月を言い渡した。命じられた返済(賠償金)は$769,355。
ニューヨーク市の消費者および労働者保護局は、AI主導の詐欺に共通する兆候として、見込みのない連絡、切迫感を生むメッセージ、そして秘密保持の要求があると警告している。米連邦取引委員会(FTC)は、暗号資産の支払いを求める事業者は正当ではないこと、また暗号資産での保証された投資収益は大きな危険信号であると強調している。被害者は、FBIのIC3ポータル、またはFTCの「Report Fraud」ウェブサイトから詐欺を報告できる。早期の報告は、だまし取られた資金の追跡や犯人の特定の可能性を高める。
GateNews5時間前
フランス当局、暴力的な暗号資産「レンチ攻撃」の急増を受け88人を起訴
Gateニュースのメッセージ、4月28日――フランス当局は、「レンチ攻撃」として知られる暴力的な暗号資産関連の誘拐が急増したことを受け、88人を起訴した。「人気のxkcdウェブコミック」にちなんで名付けられたレンチ攻撃では、犯罪者が暴力、脅迫、または拘束を用いて、暗号資産保有者に秘密鍵やパスワードを明かさせようとする。
GateNews5時間前
ZetaChain、スマートコントラクト攻撃後にクロスチェーン取引を停止
レイヤー1ネットワークのZetaChainは、The Blockによると、GatewayEVMコントラクトへの攻撃を確認した後、メインネット上でクロスチェーン取引を停止した。チームは、今回のインシデントは影響を受けたのはZetaChainの社内チーム用ウォレットのみであり、ユーザーの資金は影響を受けていないと述べた。DefiLlamaのデータによれば、$300,000
CryptoFrontier7時間前
SUNX、不正ななりすましとフィッシング手口に関する警告を発表
ゲートニュース 4月28日 — デリバティブ取引プラットフォームのSUNXは、ブランドを装った偽のプラットフォームに注意するよう警告する公式声明を発表しました。発表によると、不正者は最近、「孫克斯」 (Sunke Si) および「森克斯」 (Senke Si などの非公式な中国語訳を使って、「シグナル取引」を行い、資金詐欺を仕掛けているとのことです
GateNews8時間前
Gmailのドットエイリアス機能を悪用するフィッシング攻撃で狙われたRobinhoodユーザー
ゲートニュース メッセージ、4月28日 — 最近、Robinhoodのユーザーが、Gmailのドット無視機能とRobinhoodの口座作成プロセスにおける脆弱性を悪用するフィッシング攻撃の被害に遭っています。攻撃者は、標的のメールアドレスにほぼ一致するアカウントを登録し、Robiのメールサーバーをだまして不正なセキュリティアラート(フィッシングリンクを含む)を被害者の受信箱に届けさせることが可能になりました。
GateNews10時間前
