Trust WalletがChrome拡張機能を通じて重大なセキュリティ侵害を受ける

大規模なセキュリティ侵害がTrust Walletのユーザーを襲いました。これは、Chromeブラウザ拡張機能のアップデート後に発生しました。バージョン2.68.0の展開後、ユーザーはリカバリーフレーズを入力したわずか数分で暗号資産の残高が急速に流出するのを報告しました。このセキュリティ侵害は、ビットコイン、イーサリアム、BNBの残高に影響を及ぼし、初期の推定では数百万ドルの損失が出ているとされています。この事件は、ブラウザベースの暗号資産保管ソリューションの潜在的なリスクについて、深刻な懸念を再燃させました。

組織的攻撃による複数のウォレットの流出

ブロックチェーン研究者のZachXBTは、不審な取引パターンを発見し、侵害の組織的な性質を明らかにしました。拡張機能のアップデート後、多数のTrust Walletアドレスから予期しない大量の資金流出が短時間で連続して発生しました。攻撃者は、段階的な資金移動ではなく、1回の攻撃的な取引で全残高を中継アドレスへと一気に移動させていました。

ブロックチェーンの分析から、明確な手口が浮かび上がりました。攻撃者は特定の資産（ビットコイン、イーサリアム、BNB）を狙い、各ウォレットを完全に空にした後、盗まれた資金を複数のアドレスを経由してルーティングしていました。これらの取引パターンは、数十の侵害されたウォレットにわたって一貫しており、これは個別の事件ではなく、計画的かつ体系的な攻撃であることを強く示しています。

このセキュリティ侵害の特に懸念される点は、その迅速な実行速度です。ユーザーが悪意のある拡張機能にシードフレーズを入力すると、ほぼ瞬時に侵害が完了し、監視システムによる介入や検知の余地がほとんどありませんでした。

損失は430万ドル以上に達する

公開されているブロックチェーンのデータによると、少なくとも430万ドル相当の暗号資産が侵害されたウォレットから攻撃者に関連付けられた怪しいアドレスへと移動しています。ただし、この数字は公開追跡された取引と報告された事件に限定されており、実際の規模はこれを大きく上回るとセキュリティ研究者は推測しています。未報告の損失も含め、被害者の中にはまだ自分の資産が盗まれたことを認識していないケースもあります。

ZachXBTは、盗まれた資金が集積された重要な中継アドレスを特定し、これらのアドレスが複数の侵害されたウォレットから資産を引き出し、ほぼ同一の取引署名を示していることを明らかにしました。これにより、攻撃の背後に中央集権的な調整があった証拠が強化されました。

迅速な対応と復旧措置

事態の深刻さを認識し、Trust Walletの開発チームは迅速に対応に乗り出しました。2025年12月26日、公式声明を発表し、セキュリティの脆弱性はChrome拡張機能のバージョン2.68.0に限定されていると説明しました。チームは直ちに、被害を受けた拡張機能を無効にし、重要なセキュリティパッチを含むバージョン2.69へのアップグレードを推奨しました。

公式発表では、このセキュリティ侵害の深刻さを認めつつ、根本原因の特定と今後の類似事件防止に向けた調査が進行中であることも強調されました。迅速なパッチ適用—2.68.0から2.69へのアップグレード—は、さらなる被害拡大を防ぐための即時の対策でした。

この事件は、ブラウザベースの暗号資産管理に潜む脆弱性の持続性を浮き彫りにしています。ブラウザ拡張機能は便利さを提供しますが、ハードウェアウォレットやオフラインストレージと比べて攻撃対象となる範囲が広いというリスクも伴います。暗号資産業界が成熟を続ける中、Trust Walletに影響を与えたこのセキュリティ侵害は、複数のセキュリティ層を用いる重要性と、アクセス性と保護のバランスを考慮した資産管理の必要性を改めて示すものです。