Trust WalletのChrome拡張機能のユーザー数名が、12月24日に公開された改ざんされた拡張機能アップデートをインストールした後に暗号資産ウォレットから資金を抜き取られたと報告しており、同社は緊急対応を行うとともに、影響を受けたユーザーに警告を発しています。
同時にBleepingComputerは、脅威アクターが偽の「脆弱性」修正を約束するフィッシング用ドメインを立ち上げ、実際には被害者のウォレットからさらに資金を抜き取っていることを確認しました。
クリスマスイブのアップデート後にウォレットが空に
12月24日、複数の暗号資産ユーザーが、Trust WalletのChromeブラウザ拡張機能を操作した直後にウォレットから資金が抜き取られたとSNS上で報告し始めました。情報筋は、この攻撃による損失が盗まれた暗号資産の価値として600万ドルを超えると推定しています。
Trust Walletは広く利用されているノンカストディアル型の暗号資産ウォレットで、ユーザーは複数のブロックチェーンにまたがるデジタル資産を保管・管理・操作できます。このウォレットはモバイルアプリとして提供されているほか、分散型アプリケーション(dApps)とやり取りするためのChromeブラウザ拡張機能としても利用できます。
「単純な承認の直後に、ブラウザ拡張機能からお金が消えたと訴える人がどんどん増えている…被害額はすでに200万ドルを超えた?」と、あるユーザーが以前投稿し、拡張機能アップデートの被害者だと主張する人々の投稿を共有しました。
セキュリティアナリストのAkinatorは、当面Trust WalletのChrome拡張機能の使用を控えるよう全員に警告しました。
BleepingComputerは、Trust Walletが12月24日にChrome拡張機能のバージョン2.68.0を公開しており、その直後からウォレット流出の報告が出始めたことを確認しました。
オンライン上で苦情や警告が拡大する中、BleepingComputerはTrust Walletに連絡し、セキュリティインシデントの可能性について説明と確認を求めました。すぐの回答は得られませんでしたが、その後まもなくChrome Web StoreでTrust WalletのChrome拡張機能バージョン2.69がひっそりと公開されたことを確認しました。
改ざん版で不審なドメインを確認
インシデント発生から数時間以内に、セキュリティ研究者はTrust WalletのChrome拡張機能バージョン2.68.0に不審なコードが含まれていることを特定しました。
Akinatorによると、不審なロジックは4482.jsという名前のバンドルされたJavaScriptファイル内にあり、強く圧縮されたコードが外部サーバー(api.metrics-trustwallet[.]comでホスト)へ機密性の高いウォレットデータを流出させているように見えるとのことです。
「つまりこういうことだ…Trust Walletのブラウザ拡張機能のコード4482.jsで、最近のアップデートにより、ウォレットデータを外部へ密かに送信する隠しコードが追加された」とアナリストは説明しています。
「分析(analytics)を装っているが、ウォレットの活動を追跡し、シードフレーズがインポートされたときに作動する。データはmetrics-trustwallet[.]comに送られていた。このドメインは数日前に登録され、現在はダウンしている。」
ブラウザのウォレット拡張機能の内部に、新規登録された外部の「metrics」エンドポイントが存在するのは極めて異例です。拡張機能はウォレット操作や機密データに対して特権的なアクセス権を持つためです。
当初この主張に懐疑的だったセキュリティ研究者Andrew Mohawkも、最終的にそのエンドポイントが秘密情報の流出に関連していることを確認しました。
公開WHOIS記録によれば、親ドメインであるmetrics-trustwallet[.]comはインシデントのわずか数日前に登録されたばかりです。執筆時点で、このドメインがTrust Walletによって正当に所有・運用されているという公的な確認はありません。
Trust Walletがセキュリティインシデントを確認
昨晩、Trust WalletはChrome拡張機能のバージョン2.68.0が「セキュリティインシデント」の影響を受けたことを確認し、問題を解決するために直ちにバージョン2.69へ更新するようユーザーに助言しました。
しかしTrust Walletは、影響を受けたユーザーに補償が行われるのか、またインシデントによりウォレットから資金を抜き取られた人にどのような救済手段があるのかについて、BleepingComputerの質問にまだ回答していません。
攻撃者は同時進行のフィッシングキャンペーンで追い打ち
ユーザーが情報や指針を求めて奔走する中、BleepingComputerは、進行中の混乱に乗じた並行フィッシングキャンペーンを確認しました。
複数のXアカウント[1, 2]が、心配するユーザーを奇妙なドメインにホストされた不審なウェブサイトへ誘導していました: fix-trustwallet[.]com。
そのサイトはTrust Walletのブランドを巧妙に模倣し、Trust Walletの「セキュリティ脆弱性」を修正すると主張していました。しかし「Update」ボタンをクリックすると、ウォレットの復元用シードフレーズの入力を求めるポップアップフォームが表示されました。これはウォレットを完全に制御できるマスターキーとして機能します。
このようなサイトにシードフレーズを入力すると、攻撃者は関連する資金をすべて即座に抜き取ることができます。
WHOISデータによると、fix-trustwallet.com は今月初めに登録されており、metrics-trustwallet.comと同じレジストラが使われています。これは、これらのドメインが関連しており、より広範な攻撃の背後にいる同一の脅威アクターまたはグループによって運用されている可能性を示唆します。
ユーザーが取るべき対応
Trust Walletは、Chrome拡張機能ユーザーに対し、最新の修正版であるバージョン2.69を実行していることを確認するよう助言し、このインシデントはChrome拡張機能バージョン2.68.0のみに影響すると述べています。モバイルのみのユーザーおよび他のすべてのブラウザ拡張機能バージョンは影響を受けないとしています。
「拡張機能バージョン2.69へまだ更新していないユーザーは、更新するまでブラウザ拡張機能を開かないでください。これによりウォレットの安全性を確保し、さらなる問題を防ぐ助けになります」と、Trust Walletは同じXのスレッドで続けています。
「できるだけ早く、以下のステップバイステップガイドに従ってください:
ステップ1:ウォレットの安全性を確保し、さらなる問題を防ぐため、デスクトップ端末でTrust Walletブラウザ拡張機能を開かないでください。
ステップ2:Chromeブラウザのアドレス欄に以下をコピーして、Chrome拡張機能パネルを開いてください(公式Trust Walletブラウザ拡張機能へのショートカット):chrome://extensions/?id=egjidjbpglichdcondbcbdnbeeppgdph
ステップ3:Trust Walletの下にあるトグルがまだ「On」になっている場合は、「Off」に切り替えてください。
ステップ4:右上の「Developer mode」をクリックしてください。
ステップ5:左上の「Update」を押してください。
ステップ6:バージョン番号を確認してください:2.69。これが最新で安全なバージョンです。
「当社のカスタマーサポートチームは、次のステップについて影響を受けたユーザーとすでに連絡を取っています。DM内の方々には、こちらから当社サポートチームへ連絡するようお伝えください:https://twtholders.trustwallet.com」とTrust Walletは助言しています。
ウォレットが侵害された可能性があると考えるユーザーには、残っている資金を直ちに新しいシードフレーズで作成した新しいウォレットへ移し、以前に露出した可能性のある復元フレーズは恒久的に安全ではないものとして扱うよう強く求められています。
