Trust Walletの重大なセキュリティ侵害により、Chrome拡張機能の脆弱性が明らかにされました

2026-03-11 13:06:16

信頼ウォレットのChrome拡張機能に影響を与えた重大なセキュリティ侵害が暗号通貨コミュニティに衝撃を与えました。このセキュリティ侵害は、ブラウザ拡張機能バージョン2.68.0のユーザーに影響し、広範なアカウントの乗っ取りと資産の大規模な損失を引き起こしました。シードフレーズを侵害された拡張機能にインポートしたユーザーは、数分以内にビットコイン、イーサリアム、BNBの保有資産が完全に空になったことを発見し、拡張機能ベースのウォレットソリューションの信頼性についての緊急の議論が再燃しています。

セキュリティ侵害の経緯

攻撃は正確かつ迅速に行われました。ユーザーが脆弱なバージョン2.68.0の拡張機能にリカバリーシードフレーズを入力すると、攻撃者は不正アクセスを得ることができました。通常の段階的な資金移動ではなく、一度にすべての資産を吸い上げるための積極的な単一取引を仕掛け、素早く資産を奪取しました。この速度と連携は、自動化された攻撃インフラによるものと考えられ、手動の悪用ではない可能性が高いです。

暗号通貨詐欺の追跡で著名なブロックチェーン研究者のZachXBTは、複数の侵害されたウォレットにわたる攻撃パターンを記録しました。彼の分析によると、侵害成功後数秒以内に、さまざまなウォレットから資金が攻撃者が管理する中継アドレスに体系的に移動されていました。この連携した動きは、何百もの事例にわたって繰り返されており、個別の事件ではなく、組織的なキャンペーンの証拠となっています。

ブロックチェーンデータによる攻撃の追跡

侵害発覚後、ZachXBTはブロックチェーン上の疑わしい資金流れを追跡しました。データは明確な手法を示しています：侵害されたTrust Walletのアドレスからの資産は、複数のリレーアドレスを経由して迅速に集約され、その後最終的に分散されていました。ビットコイン、イーサリアム、BNBの保有資産は無差別に狙われており、攻撃者は流動性に関心があったと考えられます。

現在のブロックチェーン分析では、少なくとも430万ドル相当の暗号資産が、セキュリティ侵害に直接関与したアドレスに関連付けられています。ただし、この数字は、被害者が盗難を報告した公開された損失額に過ぎず、実際の損失はこれを大きく上回る可能性があります。多くの被害者はすぐに被害を公表せず、完全な損害評価を行っていないケースもあります。

セキュリティ研究者が特定した繰り返しの取引パターンは、複数のウォレットが同一の侵害署名と資金移動の挙動を示しており、単一の高度な攻撃インフラによるものであることを強く示唆しています。これにより、多数の独立した事件ではなく、組織的な攻撃による広範な侵害であると結論付けられます。

公式対応と調査状況

2025年12月26日、Trust Walletは公式声明を発表し、セキュリティ侵害を認め、即時の対策を案内しました。チームは、この脆弱性はブラウザ拡張機能のバージョン2.68.0に限定されており、他のTrust Walletプラットフォームやモバイルアプリには影響しないと確認しました。ユーザーには、直ちに侵害された拡張機能を無効にし、セキュリティパッチを含むバージョン2.69にアップグレードするよう指示されました。

Trust Walletの開発チームは、完全な侵害範囲と追加の脆弱性の特定に向けて調査を進めていることを強調しました。迅速な認知と新バージョンのリリースは、問題に対処する彼らのコミットメントを示していますが、すでにユーザーの信頼には打撃が及んでいます。

リスク理解：ブラウザ拡張の脆弱性

このセキュリティ侵害は、ブラウザベースの暗号通貨管理における根本的な課題を浮き彫りにしています。ブラウザ拡張は、システムの重要な権限を持ち、ユーザーの暗号資産に直接アクセスできるためです。孤立したモバイル環境と異なり、ブラウザ拡張はユーザーのブラウジングセッションを共有し、パッケージ配布の改ざんやアップデート中の中間者攻撃、ブラウザの脆弱性の悪用など、さまざまな攻撃に脆弱です。

この事件は、リカバリーシードフレーズを拡張機能ベースのウォレットに保存するユーザーが直面する特有のリスクを改めて認識させるものです。シードフレーズを侵害されたアプリに入力すると、セキュリティ侵害はほぼ完了し、攻撃者はウォレットの暗号鍵を完全に掌握し、追加の認証なしにすべての資産を移動できてしまいます。