Trust Wallet Extensionの侵害：Chromeのアップデートの失敗により430万ドルが消失

2023年12月下旬にChrome拡張機能バージョン2.68.0の展開後、Trust Walletユーザーに深刻なセキュリティインシデントが発生しました。アップデートの展開から数時間以内に、複数のアカウントでビットコイン、イーサリアム、BNBなど主要な暗号資産の資金が急速に流出しました。この侵害は、ブラウザベースのウォレットソリューションの脆弱性を浮き彫りにし、ウォレットのアップデートに関するセキュリティプロトコルに重大な疑問を投げかけています。

流出は高速で展開

オンチェーン調査員のZachXBTは、連携した攻撃と思われる事後の状況を記録しました。ウォレットのシードフレーズが更新された拡張機能にインポートされた直後に、ウォレットの残高が急激に減少しました。通常の段階的なアカウント流出とは異なり、これらの送金にはステージングや時間遅延は見られませんでした。代わりに、攻撃者は盗まれた資産を複数の受取アドレスに迅速に移動させ、複雑なルーティングパターンを作り出し、多数の侵害されたウォレットを連結させました。

攻撃の範囲は非常に広範囲に及びました。ビットコイン、イーサリアム、BNBの保有者がすべて損失を報告し、ブロックチェーンデータは報告されたケース間で一貫した取引構造を示しています。攻撃のタイミングは拡張機能リリース直後の数時間に集中しており、攻撃者は脆弱性を予測していたか、発見に合わせて正確に行動した可能性があります。

オンチェイントレースは$4.3百万の影響を示す

ブロックチェーン分析によると、影響を受けたウォレットから4.3百万ドル以上の資産が流出しました。この数字は、ARKHAMが追跡した公開されたオンチェーンの送金記録に基づくもので、報告されたアカウントの侵害に基づく最低限の損失額を示しています。実際の被害規模は、さらなる被害者が名乗り出るにつれて拡大する可能性があります。

ZachXBTの調査は、盗まれた資金の集積点として機能したいくつかのウォレットアドレスを特定しました。

• 0x3b09A3c9aDD7D0262e6E9724D7e823Cd767a0c74
• 0x463452C356322D463B84891eBDa33DAED274cB40
• 0xa42297ff42a3b65091967945131cd1db962afae4

これらのアドレスは、数十の侵害されたウォレットからの送金を受けており、ミームハッカーの機会主義的な行動か、あるいは脆弱性を体系的に利用したより組織的な盗難作戦のいずれかを示しています。

Trust Walletの沈黙と疑問

報道時点で、Trust Walletは公式な声明を出していません。侵害を認めたり、被害者への対応策を示したりしていません。同社は、Chrome拡張機能のアップデートが直接の原因かどうかも明らかにしておらず、回復策や修正手順も発表していません。

この透明性の欠如は、開発者がバージョン2.68.0によって導入されたリスクを十分に理解していたのかどうかについて懸念を呼んでいます。タイムラインは問題のアップデートが公開された12月24日に集中していますが、流出の背後にある正確な技術的脆弱性についてはプラットフォームからの説明はありません。

Trust Walletや類似のブラウザ拡張機能に資産を保有しているユーザーにとって、この事件は、主要なアップデート前後にセキュリティ対策を見直す重要性を再認識させるものです。