ゲートニュースのメッセージ:3月31日、スローネブセキュリティチームはアラートを発表し、2026年3月31日までの公開情報によると、axios@1.14.1 と axios@0.30.4 はすでに悪意のあるバージョンとして確認されています。両者はともに追加依存関係 plain-crypto-js@4.2.1 を埋め込まれており、この依存関係は postinstall スクリプトを通じてクロスプラットフォームの悪意のあるペイロードを配信できます。
この事件が OpenClaw に与える影響は、シナリオ別に判断する必要があります:1)ソースコードのビルドシナリオでは影響はありません。v2026.3.28 のロックファイルが実際に固定しているのは axios@1.13.5 / 1.13.6 であり、悪意のあるバージョンには該当しません;2)npm install -g openclaw@2026.3.28 のシナリオでは、過去の露出リスクがあります。理由は依存関係チェーンに openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4 が存在するためです。悪意のあるバージョンがオンラインであった時間窓の間に、axios@1.14.1 へ解決される可能性があります;3)現在の再インストール結果では、npm は axios@1.14.0 へ解析をロールバックしています。ただし、攻撃窓内にインストール済みの環境では、引き続き影響を受けたシナリオとして扱い、IoC を調査することを推奨します。
スローネブは、plain-crypto-js ディレクトリが存在する場合、たとえその中の package.json がすでに削除されていても、高リスクな実行痕跡として見なすべきだと注意喚起しています。攻撃窓内に npm install または npm install -g openclaw@2026.3.28 を実行したホストでは、直ちに認証情報をローテーションし、ホスト側での調査を実施してください。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
カリフォルニア州の男性マロン・フェロがコールドウォレットを盗んだとして2億5000万ドルをめぐり起訴され、78か月の実刑判決を受けた
米国司法省(DOJ)が5月7日に発表した公式声明によると、20歳のカリフォルニア州出身の男性 Marlon Ferro は、全国規模の暗号資産ソーシャルエンジニアリング詐欺への関与により、連邦裁判所から78か月の懲役を言い渡され、さらに3年間の保護観察と250万ドルの賠償金を命じられました。司法省の声明によれば、この犯罪組織は複数の被害者から2.5億ドル超の暗号資産を盗んだとされています。
MarketWhisper28分前
1inch のマーケットメーカー TrustedVolumes が攻撃を受け、損失は 587 万ドルに達しました
ブロックチェーン・セキュリティ会社 Blockaid は、米国東部時間 5 月 6 日に X へ投稿し、分散型取引所アグリゲーター 1inch の流動性提供者およびマーケットメイカーである TrustedVolumes が継続的な攻撃を受けていることを明らかにした。Blockaid の声明が出された時点で、損失は約 587 万ドルに達している。
MarketWhisper43分前
Aave の清算で Kelp DAO 攻撃者のポジションを処理し、Arbitrum の投票で rsETH の凍結解除に同意
Aave が 5 月 7 日に発表したところによると、Arbitrum DAO は 4 月 18 日の rsETH 事件に関連する ETH の解凍について、投票が法定人数に達し、1,600 件超のアドレスが参加しており、コミュニティから一貫した支持を得ました。同日、Aave は既定のガバナンス手順に基づき、Aave プロトコルにおける Kelp DAO 攻撃者の残存 rsETH ポジションの清算を完了しました。
MarketWhisper1時間前
1inch の流動性プロバイダー TrustedVolumes はイーサリアム上で攻撃を受け、5.87M ドルが盗まれた
Blockaidによると、1inchのマーケットメーカー兼リゾルバであるTrustedVolumesが、5月7日時点でイーサリアム上で攻撃を受けています。脆弱性は、TrustedVolumesが管理するカスタムRFQ取引エージェントのコントラクト内で、Blockaidのセキュリティ監視システムによって検出されました。攻撃者は抽出しました
GateNews2時間前
プロジェクト Eleven 警告:690 万枚の BTC が量子の脅威に直面しており、Qデーは最短で2030年
後量子安全(Post-Quantum Security)分野の新興企業 Project Eleven は 5 月 6 日にレポートを公開し、量子コンピューターが現代の暗号技術の限界を突破する臨界点(Q-Day)が最も早くても 2030 年に到来し、2033 年までに起こる確率が 50% を超えると警告しました。レポートではまた、特定の条件下で約 690 万 BTC が潜在的な量子攻撃のリスクにさらされると見積もっており、暗号資産(クリプト)エコシステムに対して耐量子(ポスト量子)への移行を加速するよう呼びかけています。
MarketWhisper2時間前
プロジェクト・イレブンは、Qデーが2030年にも早く到来し得ると警告する
プロジェクト・イレブンは水曜日、量子コンピューターが現代の暗号を破る転換点で、しばしば「Q-Day」と呼ばれるものが、早ければ2030年に訪れる可能性があるとする報告書を公表し、さらに2033年までに「そうである可能性が高い」と説明されるブレークスルーが起きるかもしれないとしている。このスタートアップは、ポスト量子セキュリティに注力している
CryptoFrontier3時間前
