Trust Walletのユーザーは、サイバー犯罪者が2025年12月24日にリリースされたChromeブラウザ拡張機能のバージョン2.68.0を侵害したことで、700万ドルを超える壊滅的な損失を被りました。
デスクトップユーザーのみを標的としたこの侵害により、悪意あるアップデートの配信から数時間以内に、数百のウォレットが完全に空にされました。
ブロックチェーン調査員のZachXBTは、ソーシャルメディアプラットフォームXで当初この事件を指摘し、侵害された拡張機能をユーザーが操作した直後に、影響を受けたアドレスからの不正な資金移転が不審なほど急増したと述べました。
セキュリティ警告
12月24日のアップデートにおけるサプライチェーン攻撃により、@TrustWalletのブラウザ拡張機能が侵害された可能性があるようです。
報告によれば、シードフレーズを拡張機能にインポートすると、直ちにウォレットが空にされる可能性があります。
Trust…を使用しないでください pic.twitter.com/D2ZMnnkyvj
— Akinator | Testnet Arc (@0xakinator) 2025年12月25日
被害者はクリスマス・イブに盗難を報告し始め、イーサリアム、ビットコイン、ソラナ、バイナンスコインの保有が空になったポートフォリオを示すスクリーンショットを共有しました。
ある被害者は、拡張機能を通じて通常の承認操作を行った数分後に30万ドルを失い、盗まれた資産が攻撃者の管理する複数のアドレスへ転送されたと報告しました。
セキュリティ企業PeckShieldは当初、損失を600万ドルと推定しました。しかしその後、Trust Walletは、数百の侵害されたウォレットから約700万ドルが盗まれたことを確認しました。
セキュリティ研究者は、正規のPostHog分析ソフトウェアを装う4482.jsというJavaScriptファイルに埋め込まれた悪意あるコードを特定しました。
難読化されたスクリプトは、ユーザーがシードフレーズをインポートした際に作動し、機密性の高いウォレット認証情報と復元フレーズを、api.metrics-trustwallet.comへ密かに流出させました。これは攻撃の数日前に登録された不正ドメインで、公式のTrust Walletインフラを模倣するよう設計されていました。
この攻撃は高度に連携しており、脅威アクターはfix-trustwallet.comなどのドメインを用いて同時にフィッシングキャンペーンも展開しました。
これらの不正サイトは、ユーザーの不安につけ込み、「脆弱性修正」を装った偽の案内を提示してシードフレーズの入力を促し、即座にウォレットを空にできるようにしていました。
Trust Walletは12月25日、Xを通じてセキュリティ侵害を認め、影響がバージョン2.68.0のみに及ぶことを確認しました。
同社はユーザーに対し、直ちに拡張機能を無効化し、バージョン2.69へ更新するよう指示しました。
Trust Walletは被害者への全額補償を約束し、サポートを申し出る非公式のダイレクトメッセージには応じないようユーザーに警告しました。
Binance共同創業者のChangpeng Zhaoは、この侵害に内部関与の可能性があると示唆し、社内のセキュリティ統制に疑問を投げかけました。
この事件は、暗号資産拡張機能における重大なサプライチェーン脆弱性を浮き彫りにしています。自動更新がユーザーの検証を迂回し得るためです。
サイバーセキュリティの専門家は、影響を受けたユーザーに新しいウォレットを作成し、今後の拡張機能アップデートを慎重に検証することを推奨しています。
翻訳元: https://gbhackers.com/hackers-compromise-trust-wallet-chrome-extension/
