TokyoBlackHatNews

bleepingcomputer.com 4分で読了

Trust Wallet、700万ドル規模の暗号資産窃盗攻撃で2,596のウォレットが空にされたと発表

Image

Trust Walletによると、クリスマス直前に同社のブラウザ拡張機能が侵害され、約3,000件近い暗号資産ウォレットアドレスから約700万ドルが流出したという。

この暗号資産ウォレット(公式サイトによれば2億人以上が利用)は、ブラウザ拡張機能および無料のiOS/Androidモバイルアプリを通じて、ユーザーがビットコイン、イーサリアム、ソラナ、そして数千種類の暗号資産やデジタルトークンを保管・送信・受信・管理できるようにする。

Trust Walletは2017年に立ち上げられ、翌年、世界最大級の暗号資産取引所の一つであるBinanceに買収された。それにもかかわらず、現在も独立した分散型ウォレットアプリケーションとして運営されている。

BleepingComputerが最初に報じたとおり、12月24日のインシデントでは、Chrome拡張機能のバージョン2.68.0が侵害され、攻撃者が機密性の高いウォレットデータを流出させる悪意のあるJavaScriptファイルを追加したことで、侵害されたウォレットから約700万ドルが盗まれた。

Trust Walletは、BleepingComputerが確認を求めた後にハッキングを認め、さらなる暗号資産窃盗の試みを阻止するため、直ちにバージョン2.69へ更新するようユーザーに助言した。

「悪意のある拡張機能v2.68は、当社の内部手動プロセスを通じてリリースされたものではありません。現時点の調査結果では、当社の標準的なリリースチェックを回避し、Chrome Web StoreのAPIキーを通じて外部から公開された可能性が最も高いと考えられます」と、CEOのEowyn Chenは説明した

「作業仮説(現在も調査中):ハッカーは漏えいしたChrome Web StoreのAPIキーを使用して、悪意のある拡張機能バージョンv2.68を提出しました。これはChrome Web Storeの審査を通過し、2025年12月24日12:32(UTC)に公開されました。」

このインシデントへの対応として、Trust Walletは今後2週間にわたり新バージョンの公開を試みる動きを遮断するため、すべてのリリースAPIを失効させた。また、悪意ある流出ドメインをレジストラのNiceNICに報告し、同社が速やかに停止したことで、ハッカーが追加のウォレットデータを盗めないようにした。

しかしBleepingComputerが確認したところ、攻撃者はさらに攻勢を強め、混乱に乗じたフィッシングキャンペーンを開始した。Trust Walletを装ったウェブサイトを用い、「セキュリティ改善を伴う重要な予定更新」を受けるためとして、ユーザーにウォレット復元用のシードフレーズの入力を求めた。

Image
悪意のあるfix-trustwallet[.]comドメイン(BleepingComputer)

​数千の暗号資産ウォレットが空に

その後、Trust Walletは、攻撃者が約3,000のウォレットから暗号資産を盗んだことを明らかにし、影響を受けたすべてのユーザーに補償する計画だと述べた。

「これまでに、影響を受けたウォレットアドレス2,596件を特定しました。このグループから約5,000件の申請を受け取っており、被害者の補償金にアクセスしようとする虚偽または重複の提出が相当数あることを示しています」とChenは、月曜日に付け加えた

「このため、資金が正しい人に返還されるよう、ウォレット所有権の正確な検証が極めて重要です。当社チームは申請の検証に全力で取り組んでおり、複数のデータポイントを組み合わせて、正当な被害者と悪意ある行為者を見分けています。」

調査と並行して、Trust Walletは影響を受けたユーザーへの補償も開始しており、専用の申請フォームで連絡先情報、侵害されたウォレットアドレス、ハッカーのアドレス、ウォレット流出取引のトランザクションハッシュを提出するよう促す一方で、「いかなる秘密鍵、シードフレーズ、パスワードも共有しない」よう警告している。

「補償手続きを開始するため、影響を受けたユーザーはこのフォーム(https://be-support.trustwallet.com)にご記入ください。ケース処理のために必要です。当社サポートチームは本インシデントの被害者を最優先しており、すでに提出内容の確認を開始しています」と、同社は述べた

「この状況が苛立たしく、業務に支障をきたすものであったことをお詫びし、認識しています。補償プロセスの詳細を確定するため24時間体制で取り組んでおり、正確性と安全性を確保するため、各ケースには慎重な検証が必要です。」

同社は、脅威アクターが現在サポートアカウントになりすまし、Telegram広告を通じて詐欺を実施し、偽の補償フォームを拡散しているとユーザーに警告した。

Trust Walletはまた、リンクは常に検証し、復元フレーズは決して共有せず、公式のTrust Walletの連絡チャネルのみを利用するよう注意喚起した。

翻訳元: https://www.bleepingcomputer.com/news/security/trust-wallet-says-7-million-crypto-theft-attack-drained-2-596-wallets/

ソース: bleepingcomputer.com
#APIキー漏えい #Binance #Chrome拡張機能 #Trust Wallet #サプライチェーン攻撃 #データ流出 #フィッシング詐欺 #仮想通貨ウォレット #暗号資産 #被害補償

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用