ブラウザ拡張機能バージョン2.68の悪意あるコードがクリスマスの日に数百人のユーザーから資金を流出させた。
Trust Walletのユーザーはクリスマスの日に700万ドル以上を失いました。ハッカーがブラウザ拡張機能に悪意あるコードを忍び込ませ、シードフレーズを傍受してウォレットを数分以内に空にしたのです。
攻撃者は、洗練された供給チェーン攻撃を通じてTrust Walletの Chrome拡張機能バージョン2.68を侵害しました。12月24日にリリースされた悪意あるアップデートには、PostHog分析追跡コードに見せかけた隠されたJavaScriptファイルが含まれていました。
ユーザーが復旧シードフレーズを拡張機能にインポートすると、スクリプトは機密データを傍受し、Trust Walletの公式メトリクスエンドポイントに見せかけた不正なドメインに送信しました。クリスマスの日に資金が消え始め、ブロックチェーン調査者ZachXBTが最初に侵害を指摘しました。
盗まれた資産には、約300万ドル分のBitcoin、300万ドル分のEthereum、および約430ドル分のSolanaが含まれています。ブロックチェーンセキュリティ企業PeckShieldは、約425万ドルがすでにChangeNOW、FixedFloat、KuCoin、HTXなどの集中型取引所に送信されたと報告しています。
供給チェーン攻撃は、暗号セキュリティにおいて最も危険な脅威の1つです。被害者がフィッシングリンクをクリックしたり、疑わしいトランザクションを承認したりする必要がないからです。悪意あるコードは、ユーザーがシードフレーズを使用してウォレットを復元する際に自動的に実行されました。
この事件は、ブラウザ拡張機能の更新メカニズムの脆弱性を浮き彫りにしています。不正なドメインは悪用の数日前に登録されており、感染した拡張機能はChrome Web Storeの初期レビューをパスしました。Binanceの創設者CZは考えられるインサイダーの関与を示唆しており、調査が進行中であると述べています。
モバイルのみのユーザーと他のブラウザ拡張機能バージョンを使用していたユーザーは影響を受けませんでした。バージョン2.68と相互作用してシードフレーズをインポートしたユーザーのみがリスクに直面しています。
CZは、Trust WalletがBinanceのSecure Asset Fund for Users (SAFU)を使用して700万ドルの損失すべてを全額払い戻すことを確認しました。侵害された拡張機能と相互作用したユーザーは、残りの資金を新しいウォレットに直ちに転送し、公開されたシードフレーズを二度と再利用すべきではありません。
Trust Walletは修正としてバージョン2.69をリリースしました。調査は継続中であり、考えられるインサイダーの関与が検討されています。影響を受けたユーザーは、侵害されたアドレスに関連付けられている既存のトークン承認も取り消すべきです。
これは進行中のストーリーです。Trust Walletの対応と全額払い戻しの約束はある程度の安心感を提供していますが、この事件はハードウェアウォレットの重要性とソフトウェア更新の慎重な検証の必要性を強調しています。
Wall Street giant Citigroup projects Bitcoin could reach $143,000 within 12 months, citing ETF demand and regulatory tailwinds as key catalysts.
The largest US bank is assessing spot and derivatives trading services as regulatory clarity enables traditional finance to deepen crypto involvement.
All 12 U.S. spot Bitcoin ETFs saw positive inflows on March 2, totaling $458M as BTC rebounds from February lows.
免責事項: ニュースコンテンツは情報提供のみを目的としており、金融アドバイスとはみなされません。市場状況は急速に変化する可能性があります。常にご自身でリサーチを行ってください。
