Trust Walletのユーザーは、2025年のクリスマスイブにリリースされたChromeブラウザ拡張機能バージョン2.68.0に影響した壊滅的なセキュリティ侵害により、約700万ドルを失いました。
この攻撃では、公式の拡張機能アップデートに悪意のあるコードが注入され、数百のウォレットが侵害されました。
ブロックチェーン調査員のZachXBTは12月24日にこの侵害を最初に特定し、影響を受けたウォレットからの不正取引が突然急増したと報告しました。
被害者はすぐにSNSに殺到し、イーサリアム、ビットコイン、ソラナ、BNBを含むポートフォリオが完全に空にされたという報告を投稿しました。
あるユーザーは、通常のウォレット操作から数分以内に発生した30万ドルの損失を記録しました。
セキュリティ研究者は、侵害された拡張機能バンドル内に攻撃ベクトルが埋め込まれていることを発見しました。
正規のPostHog分析ソフトウェアを装った悪意のあるJavaScriptファイルが、ユーザーがシードフレーズをインポートした際に作動しました。
難読化されたコードは、復元フレーズとウォレット認証情報をapi.metrics-trustwallet.comへ密かに送信しました。これは攻撃の数日前に登録された詐欺ドメインです。
セキュリティ企業SlowMistはこの事件をサプライチェーン侵害に分類し、攻撃者が開発または配布プロセス中に悪意のあるコードを挿入したとしています。
この高度な作戦は拡張機能そのものにとどまらず、脅威アクターはfix-trustwallet.comのようなフィッシングドメインを登録し、偽のセキュリティパッチを提供すると称してパニック状態のユーザーを悪用しました。これらはシードフレーズの入力を要求し、即座にウォレットを空にするものでした。
Trust Walletは12月25日に侵害を確認し、脆弱性はバージョン2.68.0のみに限定されるとしました。
同社は、侵害された拡張機能を直ちに無効化し、Chromeのデベロッパーモードでバージョン2.69へ更新するようユーザーに指示しました。デスクトップユーザーは曝露の対象となりましたが、モバイルアプリのユーザーは影響を受けませんでした。
同組織は、すべての被害者に対して全額返金を行うことを約束しました。また、サポートを提供すると主張する非公式なダイレクトメッセージには応じないよう警告しました。
Binance共同創業者のChangpeng Zhaoは内部関与の可能性を示唆し、Binance傘下のウォレット提供者における内部セキュリティ手順に疑問を投げかけました。
この事件は、暗号資産のブラウザ拡張機能における重大なサプライチェーン脆弱性を浮き彫りにしています。自動更新はユーザーのセキュリティレビューを迂回し得ます。
サイバーセキュリティの専門家は、影響を受けたユーザーに対し、完全に新しいウォレットを作成し、侵害された可能性のあるシードフレーズを破棄することを推奨しています。
2025年の暗号資産ハッキングによる損失が30億ドルに迫る中、この侵害はTrust Walletのユーザー保護とプラットフォームセキュリティへの取り組みを試すものとなっています。
翻訳元: https://cyberpress.org/trust-wallet-chrome-plugin-under-attack/