Trust Wallet、ウォレットから600万ドル以上が流出=拡張機能v2.68のセキュリティ問題を確認

Trust Wallet、ウォレットから600万ドル以上が流出

Trust Walletは、最新アップデートと同時にセキュリティインシデントが発生したことを報告した。

Trust Walletは、2025年12月24日（水曜日）のアップデート後、数百のウォレットから資金が流出し始め、ブラウザー拡張機能に関するセキュリティ上の懸念が浮上。最新アップデートが不正アクセスやウォレットの流出につながる可能性があるとの報告を受け、ブロックチェーン調査担当者やセキュリティに重点を置く開発者から警告が出された。

その後、Trust Wallet拡張機能v2.68にサプライチェーンへの不正アクセスの疑いがあることが判明。シードのインポート後にウォレットの流出が報告され、損失額は600万ドル（約9.4億円）以上と推定される。

バージョン2.69へのアップグレードが推奨されている

調査している研究者たちは、新たに追加されたJavaScriptファイルが拡張機能に埋め込まれ、分析機能を装っていたと主張。

このファイルは、ユーザーがシードフレーズをインポートした場合にのみアクティブ化され、その後、ウォレット関連の機密データをTrust Walletの公式インフラストラクチャーに似せて設計された外部ドメインに送信したと報告されている。同社は声明の中で、ユーザーに同バージョンを直ちに無効化し、修正プログラムが含まれているバージョン2.69にアップグレードするよう推奨。モバイルアプリは影響を受けていないとのことだ。

報告書で言及されている外部ドメインは、インシデントのわずか数日前に登録され、その後オフラインになっている。このドメインが最近作成されたこと、アップデートのタイミングを合わせると、このインシデントは単独のフィッシング攻撃やユーザーエラーではなく、組織的なサプライチェーン攻撃による可能性があるという懸念が生じている。

また、コミュニティの研究者が引用したオンチェーン分析によると、侵害された資金が複数のアドレスを経由していることが判明。このパターンは、自動化されたエクスプロイト手法によく見られると研究者たちは述べている。

今回のインシデントを受けて、バイナンス（Binance）の創設者ジャオ・チャンポン（趙 長鵬：Zhao Changpeng）氏は、この事件に即座に反応。「全ユーザーに補償金を支払う」と述べている。

ブロックチェーン調査員には数百件の報告が集まる

ブロックチェーン調査員ZachXBTは、ブラウザー拡張機能にシードフレーズをインポートした後にウォレット残高が減少したという数百件のユーザーからのメッセージを受け取った事を明らかにしている。

ZachXBTはこの攻撃に気づき、このエクスプロイトの影響を受けたイーサリアム、ビットコイン、Solanaのウォレットを特定。攻撃者は流出した資金のうち235万ドル（約3.7億円）を保持し、残りは中央集権型取引所を通じて交換しているとのことだ。ただし、ZachXBTは、このエクスプロイトによって秘密鍵自体が侵害されたかどうかについては言及しておらず、ユーザーは新しいウォレットを作成する必要の可能性がある。