セキュリティ界隈は、Trust Walletが2025年12月25日にChrome拡張機能のバージョン2.68を無効化したことで騒然となった。この決定は、複数のブロックチェーンネットワークにわたるユーザーウォレットの危殆化を引き起こした重大なインシデントに続く緊急アップデートであった。研究者や被害者から、欠陥のあるバージョンに関連した資金流出の協調的な報告が相次ぎ、被害額は約$7 百万ドルに達している。## 攻撃の経緯と規模ユーザーからの盗難資産の報告は、バージョン2.68が約100万人のChrome拡張ユーザーに展開された12月24日直後から始まった。この脆弱性は狭いながらも壊滅的な時間枠を生み出し、感染したバージョンを使用しながらシードフレーズをインポートまたは入力した被害者は、数時間以内に資産が未知のアドレスへと流出した。Trust Walletは、同日中に根本原因に対処したパッチバージョン2.69をリリースした。後に、モバイルユーザーや他の拡張機能バージョンには影響がなかったことも確認された。しかし、脆弱な期間中に2.68とやり取りしたユーザーにとっては、すでに被害は避けられない状態だった。## 技術的解説:スクリプトの検知回避手法バージョン2.68を解析したセキュリティ研究者は、拡張機能のバンドル内に埋め込まれた難読化されたJavaScriptロジックを発見した。これには、「4482.js」とラベル付けされた疑わしいファイルへの参照も含まれていた。この悪意あるスクリプトは、ウォレットの秘密情報を傍受し、外部サーバーへ送信するよう設計されており、結果的にプライベートキーを無防備なユーザーから収集していた。この攻撃の特に危険な点は、悪意のあるコードが自動化されたセキュリティレビューや実行時検知を回避しようとする高度な手法を採用していたことにある。スクリプトは、研究によると静的な機械学習検知システムの効果を時間とともに低下させる「コンセプトドリフト」と呼ばれる難読化技術を用いていた。攻撃の経路は、署名フローの最も敏感なポイントでユーザー入力を狙ったものであった。ブラウザ拡張機能は、ウェブインターフェースと暗号化処理の重要な交差点に位置しているため、これが侵害されると、ユーザーが取引の検証や資産管理に頼るデータが直接脅かされる。## 脆弱だったのは誰か、今何をすべきか最もリスクの高い層は、2.68をインストールした後にシードフレーズを入力またはインポートしたユーザーである。シードフレーズは、すべての現在および将来のアドレスのマスターキーとして機能し、ウォレットのセキュリティの要となる。影響を受けたユーザーは、単に2.69にアップデートするだけでは不十分だ。パッチは将来の悪用を防ぐが、既に露出した資格情報を遡って保護することはできない。標準的なインシデント対応は以下の通りである。- **侵害されたシードは永久に安全ではないとみなす**、新しいシードフレーズを用いて新しいウォレットを作成する- **すべての資金を新しいシードから生成されたアドレスへ移動する**- **可能な限りトークンの承認を取り消す**ことで追加の資金流出を防止- **システムの整合性を確認**し、侵害されたフレーズを処理したデバイスの再利用前に検証するこれらの手順は、リテールユーザーにとって多大な運用負荷を伴い、複数のチェーンやアプリケーションにわたるポジションの再構築やコスト、ブリッジのリスクも加わる。Trust Walletはまた、インシデントを悪用した二次詐欺にも警鐘を鳴らしている。攻撃者は、「修正」ドメインのコピーキャットを立ち上げ、パニックに陥ったユーザーに回復フレーズを明かさせるための偽の解決策を提供しようとした。## 市場への影響とTWT価格の動きTrust Wallet Token (TWT)は、インシデント発表後、市場の反応はまちまちであった。現在の価格は、パニック売りではなく冷静な懸念を反映している。- **現価格**:$0.88- **24時間変動**:-1.92%- **日中レンジ**:$0.86–$0.90この比較的安定した価格動向は、市場がTrust Walletの迅速な対応と被害者への補償に対するコミットメントを織り込んでいることを示す。ただし、長期的な信頼性は、透明性と事後開示の徹底にかかっている。## 暗号インフラ全体への影響この事件は、一般消費者向けの暗号ソフトウェアが秘密情報をどのように管理すべきかという根本的な問いを再燃させている。公式アプリストアを通じた配布とレビューの仕組みは、自動化されたセキュリティスクリーニングの限界と、次のような対策の必要性を浮き彫りにしている。- **再現性のあるビルド**による独立検証の実現- **分割鍵署名**アーキテクチャによる信頼の分散- **緊急パッチ時のロールバック機能**の明確化- **拡張機能のレビュー強化**による難読化された悪意あるコードの事前検出この侵害は、信頼されるカストディアンソリューションであっても、一般的なプラットフォームの制約内で運用される限り脆弱性を抱えることを示している。## 今後の展望:不確実性の範囲損失額の見積もりは流動的である。Trust Walletが確認した$7 百万ドルは、以下の要因により変動する可能性がある。- **今後数週間の遅延した被害者報告**- **調査による新たな攻撃経路の発見**- **盗まれた資金のスワップルートや取引所を通じたクロスチェーン追跡**- **コピーキャット対策の効果**業界関係者は、今後2〜8週間で損失範囲が次のように変動すると予測している。| シナリオ | 損失範囲 | 確率 ||----------|-----------|------------|| 抑制 | $6M–$12M | 40% || 中程度の拡大 | $15M–$25M | 35% || 深刻な修正 | >$25M | 25% |## 今後の道筋Trust Walletの全被害者への返金に対するコミットメントは、重大な財政的責任を伴うが、その調査に対する自信の表れでもある。同社の透明性が、今回のインシデントを教訓とするのか、業界全体のセキュリティ向上の契機となるのかを左右する。ユーザーにとっては、判断は明快だ。2.68が稼働中にシードフレーズを入力したか?もしそうなら、直ちにローテーションを行うこと。そうでなければ、公式Chrome Web Storeから2.69にアップデートすることで、即時の脅威は解消される。いずれにせよ、Trust Walletの指示は明確—2.68を無効にし、今すぐアップグレードせよ。
Trust Wallet Chrome拡張機能の侵害:$7M 隠された悪意のあるスクリプトを通じて盗まれる可能性があり、検出を回避できる
セキュリティ界隈は、Trust Walletが2025年12月25日にChrome拡張機能のバージョン2.68を無効化したことで騒然となった。この決定は、複数のブロックチェーンネットワークにわたるユーザーウォレットの危殆化を引き起こした重大なインシデントに続く緊急アップデートであった。研究者や被害者から、欠陥のあるバージョンに関連した資金流出の協調的な報告が相次ぎ、被害額は約$7 百万ドルに達している。
攻撃の経緯と規模
ユーザーからの盗難資産の報告は、バージョン2.68が約100万人のChrome拡張ユーザーに展開された12月24日直後から始まった。この脆弱性は狭いながらも壊滅的な時間枠を生み出し、感染したバージョンを使用しながらシードフレーズをインポートまたは入力した被害者は、数時間以内に資産が未知のアドレスへと流出した。
Trust Walletは、同日中に根本原因に対処したパッチバージョン2.69をリリースした。後に、モバイルユーザーや他の拡張機能バージョンには影響がなかったことも確認された。しかし、脆弱な期間中に2.68とやり取りしたユーザーにとっては、すでに被害は避けられない状態だった。
技術的解説:スクリプトの検知回避手法
バージョン2.68を解析したセキュリティ研究者は、拡張機能のバンドル内に埋め込まれた難読化されたJavaScriptロジックを発見した。これには、「4482.js」とラベル付けされた疑わしいファイルへの参照も含まれていた。この悪意あるスクリプトは、ウォレットの秘密情報を傍受し、外部サーバーへ送信するよう設計されており、結果的にプライベートキーを無防備なユーザーから収集していた。
この攻撃の特に危険な点は、悪意のあるコードが自動化されたセキュリティレビューや実行時検知を回避しようとする高度な手法を採用していたことにある。スクリプトは、研究によると静的な機械学習検知システムの効果を時間とともに低下させる「コンセプトドリフト」と呼ばれる難読化技術を用いていた。
攻撃の経路は、署名フローの最も敏感なポイントでユーザー入力を狙ったものであった。ブラウザ拡張機能は、ウェブインターフェースと暗号化処理の重要な交差点に位置しているため、これが侵害されると、ユーザーが取引の検証や資産管理に頼るデータが直接脅かされる。
脆弱だったのは誰か、今何をすべきか
最もリスクの高い層は、2.68をインストールした後にシードフレーズを入力またはインポートしたユーザーである。シードフレーズは、すべての現在および将来のアドレスのマスターキーとして機能し、ウォレットのセキュリティの要となる。
影響を受けたユーザーは、単に2.69にアップデートするだけでは不十分だ。パッチは将来の悪用を防ぐが、既に露出した資格情報を遡って保護することはできない。標準的なインシデント対応は以下の通りである。
これらの手順は、リテールユーザーにとって多大な運用負荷を伴い、複数のチェーンやアプリケーションにわたるポジションの再構築やコスト、ブリッジのリスクも加わる。
Trust Walletはまた、インシデントを悪用した二次詐欺にも警鐘を鳴らしている。攻撃者は、「修正」ドメインのコピーキャットを立ち上げ、パニックに陥ったユーザーに回復フレーズを明かさせるための偽の解決策を提供しようとした。
市場への影響とTWT価格の動き
Trust Wallet Token (TWT)は、インシデント発表後、市場の反応はまちまちであった。現在の価格は、パニック売りではなく冷静な懸念を反映している。
この比較的安定した価格動向は、市場がTrust Walletの迅速な対応と被害者への補償に対するコミットメントを織り込んでいることを示す。ただし、長期的な信頼性は、透明性と事後開示の徹底にかかっている。
暗号インフラ全体への影響
この事件は、一般消費者向けの暗号ソフトウェアが秘密情報をどのように管理すべきかという根本的な問いを再燃させている。公式アプリストアを通じた配布とレビューの仕組みは、自動化されたセキュリティスクリーニングの限界と、次のような対策の必要性を浮き彫りにしている。
この侵害は、信頼されるカストディアンソリューションであっても、一般的なプラットフォームの制約内で運用される限り脆弱性を抱えることを示している。
今後の展望:不確実性の範囲
損失額の見積もりは流動的である。Trust Walletが確認した$7 百万ドルは、以下の要因により変動する可能性がある。
業界関係者は、今後2〜8週間で損失範囲が次のように変動すると予測している。
今後の道筋
Trust Walletの全被害者への返金に対するコミットメントは、重大な財政的責任を伴うが、その調査に対する自信の表れでもある。同社の透明性が、今回のインシデントを教訓とするのか、業界全体のセキュリティ向上の契機となるのかを左右する。
ユーザーにとっては、判断は明快だ。2.68が稼働中にシードフレーズを入力したか?もしそうなら、直ちにローテーションを行うこと。そうでなければ、公式Chrome Web Storeから2.69にアップデートすることで、即時の脅威は解消される。いずれにせよ、Trust Walletの指示は明確—2.68を無効にし、今すぐアップグレードせよ。