12月25日、複数の暗号通貨ユーザーがTrust Walletのブラウザ拡張機能から迅速で不正な出金を報告し、直ちにコミュニティへ警告が広まりました。最初の報告は、チェーン上の調査者ZachXBTを通じて浮上し、彼は2時間の間にEVM互換チェーン、ビットコイン、ソラナ全体で数百の被害アドレスを指摘しました。報告された損失の急増は、当初600万ドルを超えると見積もられ、TelegramとXで緊急警告が発せられ、すべてのユーザーに承認を取り消し資金を引き出すよう促されました。
コミュニティの研究者は迅速に、Trust WalletのChrome拡張機能 バージョン2.68を共通の要因として特定しました。拡張機能のJavaScriptファイルを調査したところ、公式のリリースノートにはない「4482.js」に未解明の追加があることが判明しました。分析機能として偽装された疑わしいコード断片は、実際にはシードフレーズを取得し、それらをmetrics-trustwallet[.]comへ送信し、フレーズをインポートした場合に自動的にウォレットを吸い出すことができました。悪意のあるペイロードはウォレットのインポートイベントでのみ作動し、早期検出を回避しました。
その後のチェーン追跡分析では、600万ドルを超える盗難資産がプライバシー・ミキサーや難読化サービスを通じて流され、攻撃者の資金洗浄の意図が迅速であることを浮き彫りにしました。被害アドレスは、内部のマルチシグアカウント、高額の個人ウォレット、そして小売トレーダーまで幅広く、ブラウザベースのウォレットがサプライチェーン攻撃に対していかに脆弱かを強調しています。主要なミキサーである Tornado Cash および Wasabi Wallet からのペール取引も観測され、資金洗浄戦略の連携を示唆していました。
公的な検証の後、Trust Walletは拡張機能バージョン2.68のみに影響するセキュリティ事案を認める公式アドバイザリを発表しました。アドバイザリは、拡張機能の即時無効化、公式Chrome Web Storeからのバージョン2.69へのアップグレード、ブラウザ環境へのシードフレーズインポートを避けることを推奨しました。モバイルおよびChrome以外のユーザーは影響を受けていないと報告されています。Trust Walletは、この侵害がコアモバイルアプリやオンチェーンのスマートコントラクトを侵害していないことを強調しました。
この事件は、セルフカストディーのリスクと運用上のセキュリティに関する議論を再燃させました。専門家は、鍵管理環境が暗号プロトコルと同様に重要であり、サプライチェーンの完全性はウォレット提供者とブラウザ市場の双方によって強化されるべきだと繰り返しました。即時予防措置として、セキュリティ研究者は影響を受けたユーザーに対し、残りの資産を安全なエアギャップ環境で作成した新しいウォレットへ移行し、すべてのdApp承認を取り消し、ネットワーク活動を監視して疑わしい相互作用を検知するよう助言しました。
攻撃の後、標準化された拡張機能の審査、透明な変更ログ、独立した監査の必要性を訴える声が高まっています。ブロックチェーンのセキュリティ企業やオープンソース監査団体は、人気のウォレット拡張機能における異常なクライアントサイドコードを検出するツールの共同開発に取り組んでいます。現時点では、Trust Walletのインシデントは、サプライチェーンの脆弱性が自己主権資産管理の約束を揺るがす可能性があるという、はっきりとした例として挙げられ、コミュニティに対してウォレット設計と配布のエンドツーエンドのセキュリティを優先するよう促しています。
コメント (0)