7万ドル相当のTrust Wallet拡張機能ハッキング：知っておくべきことすべて

Trust Wallet 確認された 公式Chromeブラウザ拡張機能への悪意のあるアップデートにより、約7万ドルのユーザー資金が盗難されたと報じられています。この侵害は拡張機能のバージョン2.68のみに影響を及ぼし、攻撃者は埋め込まれた悪意のあるコードを通じてウォレットのシードフレーズを盗みました。報道によると、モバイルユーザーや他のブラウザバージョンには影響がありませんでした。

Trust Wallet拡張機能のハッキングで何が起こったのか?

この事件は、Trust WalletがChrome拡張機能のバージョン2.68.0をリリースした2025年12月24日に始まりました。当初、ユーザーから散発的な損失が報告されました。拡張機能経由でウォレットにアクセスまたはインポートした直後に、資金が流出したというケースもありました。一見単発的な事例のように見えたこれらのケースは、すぐにより深刻な問題であることを示唆しました。

クリスマスの日、オンチェーン調査員のZachXBT 発行 盗まれた資金がまだオンチェーン上で移動している間に、公開警告が発せられました。彼はウォレットからの資金流出をv2.68アップデートに直接結び付けました。彼の分析により、これはユーザーエラーやフィッシングではなく、ブラウザ拡張機能の侵害によるものであることが証明されました。

12月26日までに、Trust Walletは侵害を確認しました。同社は、影響を受けたのはバージョン2.68のみであるとし、ユーザーにバージョン2.69への即時アップグレードを促しました。Chromeウェブストアの掲載情報によると、このChrome拡張機能のユーザー数は約100万人です。

Trust Walletはその後、複数のブロックチェーンで約7万ドル相当のデジタル資産が盗まれたことを確認した。

影響を受けたユーザーは誰ですか?

00月26日午前11時（UTC）より前にTrust WalletのChrome拡張機能バージョン2.68をインストールまたはログインしたユーザーのみが危険にさらされました。

Trust Walletとセキュリティ研究者によると:

• モバイルアプリのユーザーは影響を受けなかった
• 他のブラウザ拡張機能バージョンは影響を受けませんでした
• バージョン2.68を通じてアクセスされたウォレットは完全に侵害される可能性がある

多くの場合、拡張機能のロック解除やシードフレーズのインポートから数分以内にウォレットが空になりました。ビットコイン、イーサリアム、ソラナのアドレスを含む数百のウォレットが影響を受けました。

Trust WalletのCEOであるEowyn Chen氏は、影響を受けた期間中にログインしたユーザーはウォレットが漏洩したと想定し、新しいウォレットを生成する必要があると確認した。

悪意のあるコードはどのように機能したのでしょうか?

ブロックチェーンセキュリティ会社によると スローミスト攻撃は悪意のあるサードパーティ製ライブラリによって引き起こされたわけではありません。攻撃者はTrust Wallet自身の拡張機能コードを直接改変し、悪意のあるロジックを拡張機能の分析コンポーネントに埋め込みました。

有望なプロジェクトを発見...

有望なプロジェクト...

（広告）

記事は続きます…

仕組みは次の通りです:

• コードは拡張機能に保存されているすべてのウォレットを反復処理しました
• 各ウォレットにニーモニックフレーズのリクエストがトリガーされました
• ユーザーがウォレットのロックを解除すると、暗号化されたシードフレーズが復号化されました
• 復号されたニーモニックは攻撃者が管理するサーバーに送信されました

データはapi.metrics-trustwallet[.]comに流出しました。このドメインは2025年12月8日に登録されました。サーバーへのリクエストは、悪意のあるアップデートが公開される数日前の12月21日に開始されました。

攻撃者は、posthog-jsと呼ばれる正規のオープンソース分析ライブラリを隠れ蓑として利用しました。トラフィックは、正しい分析エンドポイントにデータを送信する代わりに、攻撃者のサーバーにリダイレクトされました。

SlowMist は、これは内部コードベースの侵害であり、汚染された依存関係ではないと述べています。

侵害された拡張機能はどのようにして公開されたのでしょうか?

Trust Walletの内部調査により、リリースプロセスに重大な欠陥があることが判明しました。CEOのEowyn Chen氏によると、漏洩したChromeウェブストアのAPIキーが悪意のあるバージョンの公開に使用されていたとのことです。

侵害された拡張機能は12月24日午後12時32分（UTC）にアップロードされました。これにより、Trust Walletの通常の内部チェックが回避されました。

これは、攻撃者がユーザーを直接攻撃したのではなく、流通インフラを悪用したことを示しています。このようなサプライチェーン攻撃は、ソフトウェアが公式で信頼できるように見えるため、検知が困難です。

盗まれた金額はいくらで、その資金はどこへ行ったのか?

Trust Walletと独立系研究者は、損失総額を約7万ドルと見積もっている。

盗難された資産の内訳は次のとおりです。

• 約3万ドル Bitcoin
• 3万ドル以上 Ethereum
• 少量では サンルーム およびその他の資産

Hubspot ペックシールド そしてZachXBTでは、盗まれた資金はすぐに洗浄されました。

主な動きは次のとおりです。

• 約3.3万ドルがChangeNOWに送金されました
• 約340,000万ドルがFixedFloatに送金されました
• KuCoinに約44万7000ドルが送金された

4万ドル以上が中央集権型取引所を通過しました。最終更新時点で、攻撃者が管理するウォレットには約2.8万ドルが残っています。

このパターンは、攻撃者がインスタントスワップサービスやブリッジを使用して追跡可能性を低下させる他のウォレット侵害事例と似ています。

Trust Walletの対応と補償プラン

Trust Walletは迅速な修正を行いました。12月25日には、悪意のあるコードを削除したバージョン2.69がリリースされました。ユーザーには、バージョン2.68を直ちに無効化するよう促されました。

同社は正式な補償プログラムも開始した。

影響を受けたユーザーは、 Trust Walletのウェブサイト上の公式サポートフォームこのプロセスには以下が必要です。

• メールアドレス
• 居住国
• 侵害されたウォレットアドレス
• 攻撃者がアドレスを受信する
• 関連するトランザクションハッシュ

Trust Walletは、すべての請求は個別に検証されると述べています。

同社は「補償手続きの詳細を確定するために24時間体制で作業しており、正確性と安全性を確保するため、各ケースについて慎重な検証が必要だ」と述べた。

2018年にトラストウォレットを買収したバイナンスの共同創業者兼元CEOのジャオ・チャンポン氏は、損失は補填されることを確認した。

このハッキングがウォレットのセキュリティにとって重要な理由

この事件は、暗号資産における繰り返し発生するリスクを浮き彫りにしています。非管理型ウォレットでさえ、ソフトウェア配布チャネルに依存しています。これらのチャネルが機能不全に陥ると、ユーザーは全てを失う可能性があります。

Trust Walletのハッキングは、業界全体に見られるより広範なパターンを踏襲しています。今年初め、Coinbaseは、インドで賄賂を受け取ったサポートスタッフに関連する別の侵害事件について、400億ドル以上を補償すると発表しました。

攻撃方法は違っても、結果は同じ。信頼の前提は限界で崩れ去る。

ユーザーにとって、これは基本的なセキュリティ ルールを強化します。

• ブラウザ拡張機能を高リスクソフトウェアとして扱う
• 修正がリリースされたらすぐに更新してください
• ウォレットが侵害される可能性がある場合は資金を移動する
• 公開されたシードフレーズを再利用しないでください

ウォレットプロバイダーにとって、これはリリースセキュリティに関する教訓です。APIキー、ビルドパイプライン、ストアの認証情報は現在、主要な攻撃ターゲットとなっています。

結論

7万ドル相当のTrust Wallet拡張機能ハッキングは、ユーザーエラーではなく、サプライチェーンの侵害が原因でした。Chrome拡張機能バージョン2.68に埋め込まれた悪意のあるコードがシードフレーズを収集し、複数のブロックチェーンのウォレットから資金を流出させました。 

rust Walletは、影響を受けたバージョンを削除し、修正プログラムをリリースし、全額返金することを約束しました。このインシデントは、ブラウザ拡張機能が暗号資産において依然として重要な攻撃対象領域であり、ユーザーと開発者の両方が秘密鍵管理と同様に配布セキュリティを真剣に扱う必要があることを改めて浮き彫りにしています。

その他情報

1. XのTrust Wallet：12月26日発表

2. SlowmistのXへの投稿: Trust Walletの脆弱性に関するレポート

3. PeckShieldのXへの投稿: Trust Walletの脆弱性