Trust Wallet Chrome拡張機能がハッキング、供給チェーン攻撃で700万ドル盗まれる

攻撃者は、洗練された供給チェーン攻撃を通じてTrust Walletの Chrome拡張機能バージョン2.68を侵害しました。12月24日にリリースされた悪意あるアップデートには、PostHog分析追跡コードに見せかけた隠されたJavaScriptファイルが含まれていました。

ユーザーが復旧シードフレーズを拡張機能にインポートすると、スクリプトは機密データを傍受し、Trust Walletの公式メトリクスエンドポイントに見せかけた不正なドメインに送信しました。クリスマスの日に資金が消え始め、ブロックチェーン調査者ZachXBTが最初に侵害を指摘しました。

盗まれた資産には、約300万ドル分のBitcoin、300万ドル分のEthereum、および約430ドル分のSolanaが含まれています。ブロックチェーンセキュリティ企業PeckShieldは、約425万ドルがすでにChangeNOW、FixedFloat、KuCoin、HTXなどの集中型取引所に送信されたと報告しています。

供給チェーン攻撃は、暗号セキュリティにおいて最も危険な脅威の1つです。被害者がフィッシングリンクをクリックしたり、疑わしいトランザクションを承認したりする必要がないからです。悪意あるコードは、ユーザーがシードフレーズを使用してウォレットを復元する際に自動的に実行されました。

この事件は、ブラウザ拡張機能の更新メカニズムの脆弱性を浮き彫りにしています。不正なドメインは悪用の数日前に登録されており、感染した拡張機能はChrome Web Storeの初期レビューをパスしました。Binanceの創設者CZは考えられるインサイダーの関与を示唆しており、調査が進行中であると述べています。

モバイルのみのユーザーと他のブラウザ拡張機能バージョンを使用していたユーザーは影響を受けませんでした。バージョン2.68と相互作用してシードフレーズをインポートしたユーザーのみがリスクに直面しています。

CZは、Trust WalletがBinanceのSecure Asset Fund for Users (SAFU)を使用して700万ドルの損失すべてを全額払い戻すことを確認しました。侵害された拡張機能と相互作用したユーザーは、残りの資金を新しいウォレットに直ちに転送し、公開されたシードフレーズを二度と再利用すべきではありません。

Trust Walletは修正としてバージョン2.69をリリースしました。調査は継続中であり、考えられるインサイダーの関与が検討されています。影響を受けたユーザーは、侵害されたアドレスに関連付けられている既存のトークン承認も取り消すべきです。