- Extension v2.68の侵害により、シードフレーズの盗難を通じてBTC、Solana、EVMで合計700万ドルの損失が発生しました。
- 研究者は4482.jsコードと不審なドメインを特定し、サプライチェーンの懸念を提起しました。
- Trust Walletはv2.69の修正をリリースし、ユーザーに拡張機能の無効化を促し、補償を約束しました。
Trust Walletは、ブラウザ拡張機能に関連するセキュリティ侵害を確認し、広範囲にわたる不正な暗号資産流出が発生したことを明らかにしました。この事件は、Trust WalletがXで発表した声明によると、クリスマス直前にバージョン2.68をインストールしたユーザーに影響を及ぼしました。ハッカーはこのアップデートを悪用し、シードフレーズを抽出、Bitcoin、Solana、EVMネットワーク全体で約700万ドルを流出させました。
特筆すべきは、この侵害はモバイル専用ユーザーや他の拡張機能バージョンには影響しなかったと同社は述べています。しかし、損失のタイミング、規模、速度がセルフカストディコミュニティ全体の懸念を強めました。
拡張機能のアップデートが急速なウォレット流出と関連
Trust Walletは12月24日、標準のブラウザ配信チャネルを通じてブラウザ拡張機能のアップデートをリリースしました。その直後、ユーザーから資金消失の報告が相次ぎ、ウォレットアクセスから数分以内にトランザクションが発生していました。複数の被害者は、拡張機能にシードフレーズをインポートした直後に資金が流出したと述べています。
特に、オンチェーン調査員のZachXBTは、複数の独立したユーザー報告を受けて警告を発しました。彼は後に、数百のウォレットが影響を受け、初期損失は600万ドルを超えていたと述べました。Arkhamのデータによると、その後の追跡で資金が複数の受取アドレスに移動していることが確認されました。
一方、影響を受けたブロックチェーンはBitcoin、Solana、複数のEVM互換ネットワークを含んでいました。このマルチチェーンへの影響は、単一プロトコルの脆弱性ではなく、ウォレットレベルの侵害を示唆しています。XやTelegramで報告が広がる中、注目は急速に拡張機能のアップデート自体に集まりました。
コード解析がサプライチェーンの懸念を浮き彫りに
事件後、独立した研究者たちが拡張機能の更新されたコードベースを調査しました。共有された分析によると、4482.jsというJavaScriptファイルに新たなロジックが追加されていたことが判明しました。研究者たちは、このコードがシードフレーズのインポート時に作動したと主張しています。
特に、このコードはmetrics-trustwallet[.]comというドメインにデータを送信していたようです。コミュニティの研究者によれば、このドメインは数日前に登録され、その後オフラインになったとのことです。ただし、これらの発見は第三者による分析であり、公式監査によるものではありません。
一方、Trust Walletは、ブラウザ拡張機能バージョン2.68のみに影響する「セキュリティインシデント」を認めました。同社はユーザーに対し、直ちに拡張機能を無効化し、バージョン2.69へアップグレードするよう勧告しました。Trust Walletは、このアップデートで問題が修正されたとし、公式ストアからのみダウンロードするよう強く促しています。
関連記事: Hyperliquid、元従業員がHYPEショートの背後にいたと発表
ユーザーへの影響、対応、そして継続中の調査
複数のユーザーがクリスマス休暇中の損失を公に詳細に語りました。あるユーザーは、クリスマスから戻ったわずか4分間で30万ドル以上を失ったと報告。他にも数千ドルから数十万ドルに及ぶ損失を訴える声がありました。
Trust Walletは、サポートチームが影響を受けたユーザーに今後の対応について連絡を取っていると述べました。さらに、Binance創業者のChangpeng Zhaoは、Trust Walletが認証された損失を補償することを確認。「現時点で、このハッキングによる被害は700万ドル」とZhaoは書き、ユーザー資金はSAFUであると付け加えました。
なお、ZhaoはTrust Walletのオーナーであり、Binanceは2018年に同社を買収しています。攻撃者の名前は公表されておらず、事件は第三者が関与した問題によるものとされています。研究者が残りの資金や影響を受けたウォレットを追跡する中、調査は継続中です。
この事件は、2025年を通じて暗号資産の盗難が増加する中で発生しました。Chainalysisの推計によれば、年初来の暗号資産盗難額は34.1億ドルを超えています。Trust Walletの侵害は、ブラウザベースのウォレットセキュリティに対する懸念をさらに高める結果となりました。
Trust Walletは、モバイルユーザーが事件を通じて影響を受けていないことを改めて強調しました。同社は調査の進展に合わせて継続的に最新情報を発信しています。一方、ユーザーにはブラウザ拡張機能へのシードフレーズのインポートを避けるよう呼びかけています。
Trust Walletブラウザ拡張機能の侵害は、12月24日のアップデート後に発生し、ウォレットが迅速に流出する事態となりました。調査員は約700万ドルの損失がバージョン2.68に関連していると特定し、Bitcoin、Solana、EVMネットワークのユーザーに影響が及びました。Trust Walletは修正をリリースし、被害ユーザーへの補償計画を確認、現在も影響を受けたユーザーと連携を続けています。
