インシデント概要
2025年12月26日、Trust WalletのChromeブラウザ拡張機能(バージョン2.68)からの大量の不正出金の報告が相次いだ。通常の更新から数時間で、攻撃者は拡張機能内に悪意のコードを仕込み、シードフレーズと秘密鍵を静かに盗み取るようにした。被害者は複数のチェーンで資金が急速に流出したと報告しており、初期のオンチェーン分析では約700万ドルの損失が示唆されている。
攻撃ベクトルとタイムライン
- 2025年12月24日: バージョン2.68がChrome Web Store経由で公開。
- 2025年12月26日 00:15 UTC: 複数ウォレット間で資金が急速に動いているのを確認したブロックチェーンの探査者ZachXBTがコミュニティに通知。
- 2025年12月26日 02:00 UTC: PeckShieldが600万ドルを超える資金流出を確認、盗まれた資産の約40%が中央集権型取引所を通じてマネーロンダリングされた。
- 2025年12月26日 04:30 UTC: Trust Walletがバージョン2.68を無効化し、パッチ済みのバージョン2.69へアップグレードするよう勧告。
- 2025年12月26日 07:42 UTC: Trust Walletは総損失額約700万ドルを確認し、全ユーザーへの補償を約束した。
技術分析
攻撃者は拡張機能のコアスクリプトにPostHog JSの計測機能を注入することでサプライチェーンのバックドアを仕込んだ。これにより、復号済みのシードフレーズおよび秘密鍵素材をリアルタイムで悪意のエンドポイントへ抜き出すことが可能となった。オンチェーンのクラスタリングによれば、盗まれた資産はBitcoin、Ethereum、Solana、その他のEVM互換トークンに分散され、その収益は少数の出金アドレスに集約された後、現金化のため取引所へ配分された。
対策と対応
Trust Walletは悪意のコードを除去し、拡張機能の更新で使用される重要な署名を回転させたバージョン2.69を公開した。影響を受けたユーザーには拡張機能の権限を取り消し、残りの資産を新しいウォレットへ移し、可能な場合は二要素認証を有効にするよう求められた。Binance創業者のChangpeng Zhao(CZ)はSAFUファンドによる補償を公に保証した。独立系セキュリティ企業がコードベースを監査し、残留する脆弱性を監視している。
より広い影響
本件は、ブラウザベースのウォレット拡張機能を取り巻くリスクが高まっていることを浮き彫りにする。ハードウェアウォレットや完全にスタンドアロンのデスクトップクライアントとは異なり、ブラウザ拡張機能はブラウザのセキュリティコンテキスト内で動作するため攻撃対象が拡大する。専門家は、取引遅延を課すことを前提としたハードウェアウォレットやコードレベルの変更には明示的なユーザー承認を求めるアカウント抽象化ソリューションの利用を推奨している。
要点
- サプライチェーンの侵害は、正規のソフトウェア更新に直接悪意のあるコードを注入する可能性がある。
- 迅速な通知とパッチの適用、公開補償の保証を組み合わせることは、被害の拡大を抑えるうえで重要である。
- ブラウザ拡張機能環境は依然として脆弱である。大口の保有にはハードウェアウォレットやマルチシグなどの代替案を検討すべきだ。
コメント (0)