ブロックチェーン調査員のZachXBTは12月25日、直前の数時間にわたり多数のTrust Walletユーザーが不正な出金被害に遭ったと報告した。被害者は、いかなる確認もないまま資産がウォレットから引き出されたと主張している。ZachXBTによれば、苦情はブラウザ拡張機能のアップデート公開直後から出始めたという。盗難に関連するアドレス一覧に基づく暫定推計では、攻撃者は数百人のユーザーから600万ドル超を吸い上げたとみられる。
その後まもなく、Trust Walletはブラウザ拡張機能のバージョン2.68に影響するセキュリティインシデントを確認した。同社は当該バージョンのユーザーに対し、拡張機能を直ちに無効化し、公式のChrome Web Storeからバージョン2.69へアップグレードするよう呼びかけた。Trust Walletは、モバイルアプリおよび他のバージョンのブラウザ拡張機能は影響を受けていないと強調した。
続く声明で同社は、ウォレットを保護しさらなる問題を防ぐため、まだ2.69へ更新していない人はアップデートをインストールするまでブラウザ拡張機能を開かないよう注意を促した。
Binance創業者でTrust WalletのオーナーでもあるChangpeng Zhao(CZ)はXで、12月26日朝の時点で推定損失が700万ドルに達したと記した。また、同社が影響を受けたすべてのユーザーに全額補償すると明言した。「Trust Walletが損失を補填します。ユーザー資金は安全です。ご不便をおかけしますが、ご理解に感謝します」とZhaoは述べ、ハッカーがどのようにして悪意ある拡張機能のバージョンを配布できたのか、チームが引き続き調査していると付け加えた。
ユーザーは最近の取引を確認し、不要な権限を取り消し、状況が完全に明らかになるまで新たな取引への署名を避けるよう推奨される。ウォレットが侵害された可能性がある人は、新しいシードフレーズで作成した新規ウォレットへ残っている資金を移すことが推奨される。
翻訳元: https://meterpreter.org/the-christmas-drain-how-a-backdoor-in-trust-wallet-v2-68-stole-7m/
