Lemma Critical Brief · Pillar archive
Pillar 01 来歴証明
メッセージ・データ・コードの origin を独立検証する層。
15 件の Brief
1 台のラップトップにあった鍵だけでマルチシグ閾値を超え、資金が流出した
分散していたはずのマルチシグ承認が、単一の保管点の侵害で崩れた構造
盗んだ認証情報で自分を再公開する npm ワームが、開発者の鍵をまるごと抜いていた
正規の公開ワークフローには、公開者が本当の作者かを実行時に確かめる層がない
128 億枚の AI 学習データに、パスポート・履歴書・顔が混入していた
学習データの来歴と同意が、収集の時点で検証されていなかった
Stripe の信頼された API インフラが、カード窃取コードの配送と窃取データの保管に転用された
allowlist はドメインの身元を信頼し、運ばれる内容の来歴を検証しない
Alephium TokenBridge で約 81.5 万ドル流出
guardian の鍵は無事でも、署名対象のイベントの来歴が検証されなかった
npm 依存関係混乱による開発環境偵察キャンペーン
内部スコープを偽装した 33 パッケージが、ビルド環境の来歴前提を突いた
Claude Code ソース流出便乗マルウェア
信頼シグナルと GitHub Releases を配送路に転用した来歴偽装
SynthID 透かしのリバースエンジニアリング
AI 生成コンテンツの来歴標識が統計的に剥がせる構造
TanStack npm 汚染
正規 OIDC trusted publisher で署名された悪性パッケージ、来歴署名が有効でも成果物は悪性
GitHub 内部リポジトリ侵害
マーケット掲載 18 分の毒入り VS Code 拡張が開発者の信頼面を突いた
Verus-Ethereum ブリッジ $11.58M 流出
Merkle Proof は有効でも、入出力額の整合が検証されなかった
Megalodon GitHub サプライチェーン
6 時間で 5,561 リポジトリを汚染した CI/CD 認証情報窃取キャンペーン
公開 API 経由の Discord 20.5 億メッセージのスクレイピング
公開チャンネルデータが AI 学習データセットとして再配布される構造
Stake DAO vsdCRV 不正ミント
デプロイヤー鍵による LayerZero v2 信頼設定書き換え
KelpDAO / rsETH 不正アンロック
DVN 観測層への RPC 改ざん攻撃