Trust Wallet拡張機の深刻なバグ：$6 百万の暗号資産が危険にさらされ、バージョン2.69が緊急対応となった理由

何が起きたのか：
ブロックチェーンの研究者とユーザーは今週、人気の非カストディアルウォレットのブラウザ拡張機能の特定バージョンに関連した大規模な資金喪失を記録しました。予備的な分析によると、被害額はさまざまなブロックチェーンで$6 百万ドルを超え、被害を受けたウォレットの数は数百に達しています。企業は迅速に対応し、問題のあるバージョンを削除し、重要な修正をリリースしました。

Trust Wallet拡張機能：セキュリティの脆弱性が判明

公式発表によると、バージョン2.68のブラウザ拡張機能にのみ影響する重大なセキュリティ脆弱性が発見されました。この問題により、拡張機能を緊急で無効化し、公式のChrome Web Storeから入手可能なバージョン2.69へのアップデートを実施しました。

重要なのは、この欠陥は以下には影響しませんでした：

• モバイル版ウォレットのユーザー
• 他のバージョンのデスクトップ拡張機能のユーザー
• プラットフォームの主要インフラストラクチャ

企業はユーザーに対し、直ちにバージョン2.68の使用を中止し、修正をインストールするまで拡張機能の使用を控えるよう指示しました。

盗賊は認証後すぐに資金を奪取

最初の警告は、Chromeの拡張機能と最近やり取りしたユーザーの資産の異常な移動を検知した独立した研究者からもたらされました。被害者は、認証操作後すぐに資金が引き出されたと報告しています。

盗難は複数のブロックチェーンに及びました：

• EthereumおよびEVM互換ネットワーク
• Solana
• Bitcoin

バージョン2.68の公開と盗難の活発化の時間的近接性は、直接的な因果関係を示唆しています。Trust Walletは正確な金額を公表していませんが、研究者は約100のアカウントで異常な出費を確認しました。

供給チェーンの侵害の疑い

セキュリティ専門家は、バージョン2.68の開発または配布過程でマルウェアが導入された可能性を示唆しています。攻撃者が拡張機能のビルドや配布の段階に影響を与えた場合、トランザクションの署名やセッションの承認といった重要なウォレット操作を傍受できた可能性があります。

この理論は、ユーザーが未知のアドレスに観測された匿名の送金を行った事例とも一致しています。Trust Walletは調査を開始し、後日詳細な結論を発表すると約束しています。

ユーザー向けの対応手順

ウォレットは緊急措置として以下を推奨しています：

• ChromeのTrust Wallet拡張機能を無効にする
• 開発者モードを有効にする
• 強制的にバージョン2.69にアップグレードする
• その後の使用前にバージョン番号を確認する

また、企業はChromeの公式ストアからのみアップデートをダウンロードし、他のソースからの入手は避けるよう強調しています。

仮想通貨ウォレットの世界におけるシステムの脆弱性

この事件は、より深刻な問題を浮き彫りにしています：自己管理型ウォレットであっても、その配布チャネルが侵害されている場合、標的になり得るということです。ブラウザ拡張機能は特にリスクが高いです：

• プライベートキーや承認リクエストに直接アクセスできる
• フィッシングやマルウェアスクリプトのリスクがある環境で動作
• 頻繁なアップデートが必要であり、攻撃の機会を増やす

スマートコントラクトの脆弱性とは異なり、ウォレットの侵害はオンチェーンの保護メカニズムを伴わず、損失は取り戻せません。Trust Walletは世界中で2億2000万以上のユーザーを抱えているため、たとえ一部のバージョンだけの問題でも、長期的な評判への影響は避けられません。