概要
Trust Walletは、侵害されたChrome拡張機能の更新を介したサプライチェーン攻撃により、約850万ドルの損失を招いたことを確認しました。流出したGoogle Chrome Web Store APIキーにより、攻撃者はTrust Walletブラウザ拡張機能の悪意のあるバージョンを公式Webストアに直接アップロードし、コード審査とセキュリティチェックを回避しました。
攻撃の詳細
- 攻撃期間: 2025年12月24日〜26日
- 拡張機能バージョン: 2.68
- 被害者のウォレットアドレス数: 2,520
- 手法: metrics-trustwallet[.]com という偽のドメインへの分析トラフィックを装った悪意のあるコード
技術的分析
サプライチェーン攻撃のカテゴリ: キーの妥協。典型的なスマートコントラクトの悪用とは異なり、この事件は配布機構を標的にしました。拡張機能を公開するために使用された機密情報は露出し、リリースパイプラインへデータの流出コードの注入を可能にしました。オンチェーンの脆弱性は悪用されず、エンドユーザーは信頼されたインフラストラクチャを通じて標的となりました。
対応策
- 悪用されたAPI認証情報を直ちに無効化しました。
- セキュアな拡張機能バージョン2.69へロールバックしました。
- リリース鍵の管理を強化し、デプロイメントシステムでの多要素認証を導入しました。
- 全ての対象被害者に対して全損害の補償を行いました。
業界への影響
配布キーのような重要なインフラ要素は、単一障害点となる可能性があります。拡張機能ベースのウォレットは、厳格な資格情報のローテーション、発行者アカウントの監視、オフバンドでのコード署名を採用して、同様のリスクを軽減すべきです。セキュリティチームは、サプライチェーンのベクターをスマートコントラクト監査と同等の優先度で検討すべきです。
ユーザーへの推奨事項
バージョン2.68をインストールしたユーザーは、妥協を前提として資金を安全なデバイス上で生成された新しいウォレットへ移動し、シードフレーズを再生成してください。拡張機能のバージョンの検証と、v2.69またはそれ以降への更新は必須です。返金の請求は公式のTrust Walletサポート窓口を通じて提出してください。
コメント (0)