Trust Walletは、12月24日に公開された改ざんされたChrome拡張機能の更新が原因で、ユーザーからウォレットの資金が抜き取られたとの報告が相次ぎ、700万ドル相当の暗号資産が盗まれたことを確認しました。
「現時点で、このハックによる被害は700万ドル。TrustWalletが補償します。ユーザー資金はSAFUです。ご不便をおかけしますがご理解ください」と、Binance創業者のChangpeng「CZ」Zhao氏がXに投稿しました。
「チームは、ハッカーがどのようにして新しいバージョンを提出できたのか、引き続き調査しています。」
同時にBleepingComputerは、脅威アクターが偽の「脆弱性」修正を約束するフィッシングドメインを立ち上げ、実際には被害者のウォレットをさらに吸い上げているのを確認しました。
クリスマスイブの更新後にウォレットが空に
12月24日、複数の暗号資産ユーザーが、Trust WalletのChromeブラウザ拡張機能を操作した直後にウォレットから資金が抜き取られたと、SNS上で報告し始めました。サプライチェーン攻撃により、少なくとも700万ドル相当の暗号資産が盗まれたことが、現在確認されています。
Trust Walletは広く利用されている非カストディアル型の暗号資産ウォレットで、ユーザーは複数のブロックチェーンにまたがるデジタル資産を保管・管理し、操作できます。このウォレットはモバイルアプリとして提供されているほか、分散型アプリケーション(dApps)とやり取りするためのChromeブラウザ拡張機能としても利用できます。
「単純な承認をした直後に、ブラウザ拡張機能からお金が消えたという苦情がどんどん増えている……被害額はすでに200万ドルを超えた?」と、あるユーザーが以前、拡張機能更新の被害者だと主張する人々の投稿を共有しつつ投稿しました。
セキュリティアナリストのAkinator氏は、当面の間、Trust WalletのChrome拡張機能の使用を控えるよう全員に警告しました。
BleepingComputerは、ウォレット流出の報告が出始める直前の12月24日に、Trust WalletがChrome拡張機能のバージョン2.68.0を公開していたことを確認しました。
オンライン上で苦情と警告が拡大する中、BleepingComputerはTrust Walletに対し、セキュリティインシデントの可能性について説明と確認を求めました。すぐの回答は得られませんでしたが、その後まもなくChrome Web StoreでTrust WalletのChrome拡張機能バージョン2.69がひっそりと公開されたことを確認しました。
侵害されたバージョンで不審なドメインを確認
インシデント発生から数時間以内に、セキュリティ研究者はTrust WalletのChrome拡張機能バージョン2.68.0に不審なコードが含まれていることを特定しました。
Akinator氏によると、疑わしいロジックは4482.jsというバンドルされたJavaScriptファイル内にあり、強く難読化されたコードが、次の外部サーバー(api.metrics-trustwallet[.]com)へ機密性の高いウォレットデータを流出させているように見えるとのことです。同氏によれば。
「起きていることはこうです……Trust Walletのブラウザ拡張機能のコード4482.jsで、最近の更新により隠しコードが追加され、ウォレットデータを外部へ密かに送信しています」とアナリストは説明しています。
「分析(analytics)を装っていますが、ウォレットの活動を追跡し、シードフレーズがインポートされたときに発動します。データはmetrics-trustwallet[.]comに送られていました。このドメインは数日前に登録され、現在はダウンしています。」
ブラウザウォレット拡張機能の内部に、新規登録された外部の「metrics」エンドポイントが存在するのは、拡張機能がウォレット操作や機密データに対する特権的アクセスを持つことを考えると、極めて異例です。
当初この主張に懐疑的だったセキュリティ研究者Andrew Mohawk氏も、最終的にそのエンドポイントが秘密情報の流出に関連していることを確認しました。
公開WHOIS記録によれば、親ドメインであるmetrics-trustwallet[.]comはインシデントのわずか数日前に登録されていました。執筆時点では、このドメインがTrust Walletによって正当に所有・運用されているという公的な確認はありません。
Trust Walletがセキュリティインシデントを確認
昨夜、Trust WalletはChrome拡張機能のバージョン2.68.0に「セキュリティインシデント」が影響したことを確認し、問題を解決するために直ちにバージョン2.69へ更新するようユーザーに助言しました。
しかしTrust Walletは、影響を受けた人数や盗まれた暗号資産の総額など、インシデントに関するBleepingComputerからの質問にはまだ回答していません。
We’ve identified a security incident affecting Trust Wallet Browser Extension version 2.68 only. Users with Browser Extension 2.68 should disable and upgrade to 2.69.
Please refer to the official Chrome Webstore link here: https://t.co/V3vMq31TKb
— Trust Wallet (@TrustWallet) December 25, 2025
攻撃者は同時進行のフィッシングキャンペーンで追い打ち
ユーザーが情報と指針を求めて奔走する中、BleepingComputerは、進行中の混乱に乗じた並行のフィッシングキャンペーンを確認しました。
複数のXアカウント[1, 2]が、心配するユーザーを不審なドメイン fix-trustwallet[.]comへ誘導していました。
そのサイトはTrust Walletのブランドを巧妙に模倣し、Trust Walletの「セキュリティ脆弱性」を修正すると主張していました。しかし「Update」ボタンをクリックすると、ウォレットの復元用シードフレーズの入力を求めるポップアップフォームが表示されました。これはウォレットを完全に制御できるマスターキーとして機能します。
このようなサイトにシードフレーズを入力すると、攻撃者は関連する資金を即座にすべて引き出せるようになります。
WHOISデータによると、fix-trustwallet[.]com は今月初めに登録されており、metrics-trustwallet[.]comと同じレジストラが使用されています。これは、これらのドメインが関連しており、より広範な攻撃の背後にいる同一の脅威アクターまたはグループによって運用されている可能性を示唆します。
ユーザーが取るべき対応
Trust Walletは、Chrome拡張機能ユーザーに対し、最新の修正版であるバージョン2.69を使用していることを確認するよう助言し、今回のインシデントはChrome拡張機能バージョン2.68.0のみに影響すると述べています。また、モバイルのみのユーザーおよび他のすべてのブラウザ拡張機能バージョンは影響を受けないとしています。
「拡張機能バージョン2.69へまだ更新していないユーザーは、更新が完了するまでブラウザ拡張機能を開かないでください。これによりウォレットの安全性を確保し、さらなる問題を防ぐ助けになります」と、Trust Walletは同じXのスレッドで続けています。
「できるだけ早く、次のステップバイステップガイドに従ってください:
ステップ1: ウォレットの安全性を確保し、さらなる問題を防ぐため、デスクトップ端末でTrust Walletブラウザ拡張機能を開かないでください。
ステップ2: Chromeブラウザのアドレス欄に次をコピーして、Chrome拡張機能パネルを開いてください(公式Trust Walletブラウザ拡張機能へのショートカット): chrome://extensions/?id=egjidjbpglichdcondbcbdnbeeppgdph
ステップ3: Trust Walletの下にあるトグルがまだ「On」になっている場合は、「Off」に切り替えてください。
ステップ4: 右上の「Developer mode」をクリックしてください。
ステップ5: 左上の「Update」を押してください。
ステップ6: バージョン番号を確認してください: 2.69。これが最新かつ安全なバージョンです。
「カスタマーサポートチームは、影響を受けたユーザーとすでに次の手順について連絡を取っています」とTrust Walletは述べ、質問がある人は次へ連絡するよう促しています: https://twtholders.trustwallet.com
ウォレットが侵害された可能性があると考えるユーザーには、残っている資金を直ちに新しいシードフレーズで作成した新しいウォレットへ移し、以前に露出した復元フレーズは恒久的に安全ではないものとして扱うよう強く推奨されます。
