Trust Walletブラウザ拡張機能のハック、700万ドル相当の暗号資産がユーザーから盗難

Trust WalletのChrome拡張機能バージョン2.68を対象とするサプライチェーン攻撃により、約700万ドル相当の暗号資産が盗まれました。悪意あるアップデートは12月24日にデプロイされ、ユーザーはクリスマスの日にBitcoin、Ethereum、Solanaネットワーク全体でウォレットが空になったことを報告しています。

オンチェーン調査者のZachXBTは、拡張機能のアップデート内に隠された悪意あるJavaScriptコードに攻撃を追跡しました。このコードはルーチンの分析機能に偽装されていましたが、ユーザーがリカバリーフレーズをインポートするときに活動化し、シードフレーズのデータを攻撃者が管理するサーバーに送信しました。

Lookonchainのアナリストがハッカーのアドレスを特定し、約425万ドルが既にChangeNOW、FixedFloat、KuCoin、HTX取引所を通じてマネーロンダリングされたことを確認しました。

この事件は暗号資産業界におけるブラウザ拡張機能攻撃の中でも最大級のものであり、分散型エコシステムにおけるウォレットセキュリティについて深刻な懸念を生じさせています。この攻撃は特に暗号ウォレット内で最も機密性の高い情報であるシードフレーズをインポートしたユーザーを対象としていました。

Binance創立者のChangpeng Zhao(CZ)は、Binanceがセキュアアセットファンド・フォー・ユーザーズ(SAFU)を使用してすべての損失をカバーし、影響を受けたユーザーに完全な補償を提供することを確認しました。Trust Walletはブラウザ拡張機能バージョン2.68のみが侵害されたことを明確にしました。モバイルアプリユーザーおよび他の拡張機能バージョンを実行しているユーザーは影響を受けていません。

この侵害は暗号資産の盗難の急増の中で起こり、Chainalysisのデータは2025年に34億1000万ドルが盗まれたことを示しており、昨年の33億8000万ドルをわずかに超えています。

Trust Walletブラウザ拡張機能バージョン2.68を実行しているユーザーは、すぐにそれを無効にして、バージョン2.69にアップグレードすべきです。侵害されたバージョンを使用している間にシードフレーズをインポートした人は誰でも、残りの資金を新しいシードフレーズを持つ新しいウォレットに転送すべきです。

Trust Walletはセキュリティ監査とポストモーテムレポートにコミットしています。悪意あるコードが拡張機能のコードベースに入った経緯の調査は継続中です。