初期調査によると、約$7 百万ドルのユーザ資金が複数のブロックチェーンネットワークにわたって危険にさらされていることが判明しています。Chrome Web Storeのリストによると、影響を受けた拡張機能は展開時に約1,000,000人のアクティブユーザーを持っていましたが、実際の被害は、感染したバージョンを使用している間に積極的にリカバリ情報を入力またはインポートしたユーザーの数に依存します。
この事件は、一般的なコンピュータ上での暗号秘密情報の取り扱いにおける根本的な弱点を露呈しています。拡張機能は、ウェブアプリケーションとトランザクション署名フローの間の敏感な交差点で動作しており、悪意のあるコードはユーザーがトランザクション検証に頼る入力に直接アクセスできます。Chrome Web Storeのセキュリティに関する学術研究では、侵害された拡張機能が自動検出システムを回避できる方法や、攻撃者の戦術が進化するにつれて検出効果が低下することが記録されています。
Trust Wallet Chrome拡張機能の侵害:プライベートキーの収集が検出された後の即時対応が必要
Trust Walletは、Chromeブラウザ拡張機能バージョン2.68に重大なセキュリティ脆弱性が発見されたことを受けて、ユーザーに緊急警告を発しました。この脆弱性により、悪意のあるコードが感染したユーザーからウォレットの秘密鍵やシードフレーズを収集できる状態となっていました。同社は、2025年12月25日に迅速にバージョン2.69を展開し、脆弱性の修正を行いました。これは、12月24日のアップデート後数時間以内にウォレットの資金流出が報告され始めたためです。
流出の範囲
初期調査によると、約$7 百万ドルのユーザ資金が複数のブロックチェーンネットワークにわたって危険にさらされていることが判明しています。Chrome Web Storeのリストによると、影響を受けた拡張機能は展開時に約1,000,000人のアクティブユーザーを持っていましたが、実際の被害は、感染したバージョンを使用している間に積極的にリカバリ情報を入力またはインポートしたユーザーの数に依存します。
セキュリティ研究者によると、悪意のあるペイロードは、2.68バンドル内の難読化されたJavaScriptコードに埋め込まれていました。特に、「4482.js」と呼ばれるファイルに疑わしいロジックが含まれており、ウォレットの秘密情報を外部サーバーに送信する指示が記されていました。この攻撃は、特定のユーザー行動を標的にしており、影響を受けたバージョンをインストールした後にシードフレーズをインポートまたは入力することで、悪意のあるスクリプトがその敏感なデータを傍受・外部に送信できる脆弱なウィンドウが作られました。
ユーザーが直ちに行うべきこと
修復手順は、ユーザーの行動によって大きく異なります。単にバージョン2.69に更新するだけでは、今後の悪意のコードは除去されますが、既に2.68の期間中にシードフレーズが漏洩していた場合は資産を保護できません。
もし、v2.68を使用中にシードフレーズをインポートまたは入力した場合: そのシードは永久に危険にさらされたとみなしてください。リカバリ手順は以下の通りです。
既存のウォレットを使用し、新たなシードフレーズを入力しなかった場合: 公式Chrome Web Storeからバージョン2.68を無効化し、2.69に更新すれば、即時の脅威は解消されるはずです。アカウントの不審な活動や不正な取引を監視してください。
Trust Walletの公式ガイダンスでは、モバイルウォレットユーザーや他の拡張機能バージョンは影響を受けていないと特に強調しています。緊急警告は、脆弱なウィンドウ中にリカバリフレーズを扱ったChrome拡張ユーザーに限定されます。
二次的な脅威:コピーキャットの「修正」詐欺
研究者は、Trust Walletの修復プロセスを偽装した詐欺的リカバリドメインの二次攻撃の波を警告しています。これらの詐欺は、パニックに陥ったユーザーに対し、アカウント回復を装ってリカバリフレーズの提出を強要します。正規の修復指示は、Trust Walletの公式チャネルや認証済みのソーシャルメディアアカウントを通じてのみ確認してください。ニュースが広まるにつれ、詐欺師の活動も増加する可能性があります。
大局的な視点:ブラウザ拡張の脆弱性
この事件は、一般的なコンピュータ上での暗号秘密情報の取り扱いにおける根本的な弱点を露呈しています。拡張機能は、ウェブアプリケーションとトランザクション署名フローの間の敏感な交差点で動作しており、悪意のあるコードはユーザーがトランザクション検証に頼る入力に直接アクセスできます。Chrome Web Storeのセキュリティに関する学術研究では、侵害された拡張機能が自動検出システムを回避できる方法や、攻撃者の戦術が進化するにつれて検出効果が低下することが記録されています。
この流出は、コードの整合性検証のための再現可能なビルド、分割鍵署名メカニズム、重要なホットフィックス時のロールバック手順の明確化など、業界全体のセキュリティ強化の必要性を再認識させるものです。
市場の反応と損失の見積もり
Trust Wallet Token (TWT)は、緊急警告の公表後に控えめな動きを見せましたが、一部の予想された大きな価格変動ほどではありません。現在の市場データによると、TWTは$0.87で取引されており、過去24時間で2.40%下落しています。日中の範囲は$0.86から$0.90の間です。
報告された損失額は約$7 百万ドルで、これはあくまで初期推定値であり、今後修正される可能性があります。盗難調査における損失の算定は、遅れて報告された被害者の情報やアドレスの再分類、クロスチェーンの資金移動や現金化ルートの詳細な追跡が進むにつれて、より正確になっていきます。
セキュリティアナリストは、今後2〜8週間のシナリオとして以下の3つを示しています。
今後の展望
Trust Walletは、すべての確認済み影響ユーザーに対し返金を行うことを確認し、詳細な指示を追って案内するとしています。同社は返金プロセスの最終調整を進めており、公式チャネルを通じて段階的なガイダンスを提供する予定です。
ウォレット開発者やプラットフォーム運営者にとって、この事件は厳しい現実を突きつけています。それは、自己管理のセキュリティ境界はプロトコル層をはるかに超えて広がっているということです。ソフトウェアの配布、コードの整合性、秘密情報の取り扱いは、消費者デバイス上で直接管理されており、ユーザーは、v2.68実行中にシードフレーズを入力したかどうかを確認する必要があります。その一つの行動が、アップグレードだけで十分か、あるいは秘密情報の完全なローテーションと資産の移行が必要かを決定します。業界が拡張機能のセキュリティモデルと配布チャネルを強化しない限り、同様の事件は、標準的なコンピュータハードウェア上で暗号資産を管理するリテールユーザーにとって引き続き脅威となり続けるでしょう。