TrustWalletハッキングの解説：アップデートから$16M ドル相当の$TWT、BTC、ETHのウォレット流出まで

Trust Wallet事件で何が正確に起こったのか

ステップ1：新しいブラウザ拡張機能のアップデートがリリースされた

2023年12月24日にTrust Walletのブラウザ拡張機能の新しいアップデートがリリースされました。

• アップデートは定例のものでした。

• 重大なセキュリティ警告はありませんでした。

• ユーザーは通常のアップデート手順でインストールしました。

この時点では、怪しい点は何もありませんでした。

ステップ2：新しいコードが拡張機能に追加された

アップデート後、拡張機能のファイルを調査していた研究者は、4482.jsというJavaScriptファイルに変更を発見しました。

重要な観察点：

• 新しいコードは以前のバージョンにはありませんでした。

• ユーザーの操作に連動したネットワークリクエストを導入していました。

これは重要です。ブラウザウォレットは非常に敏感な環境であり、新しいアウトゴーイングロジックは高リスクを伴います。

ステップ3：コードは「分析」や「テレメトリー」と偽装

追加されたロジックは、分析やテレメトリーのコードのように見えました。

具体的には：

• 一般的な分析SDKが使うトラッキングロジックのように見えました。

• 常に動作するわけではありませんでした。

• 特定の条件下でのみ有効になっていました。

この設計により、偶発的なテスト中に検出しにくくなっていました。

ステップ4：トリガー条件 — シードフレーズのインポート

コミュニティのリバースエンジニアリングによると、ロジックはユーザーが拡張機能にシードフレーズをインポートしたときに発動したと推測されています。

なぜこれが重要か：

• シードフレーズのインポートはウォレットに完全なコントロールを与えます。

• これは一度きりの高価値な瞬間です。

• 悪意のあるコードは一度だけ動作すれば十分です。

既存のウォレットを使っていたユーザーは、このパスをトリガーしなかった可能性があります。

ステップ5：ウォレットデータが外部に送信された

トリガー条件が発生したとき、コードは外部エンドポイントにデータを送信したとされます：

metrics-trustwallet[.]com

警告を引き起こした点：

• ドメインは正規のTrust Walletのサブドメインに非常に似ていました。

• 数日前に登録されたばかりでした。

• 公にドキュメント化されていませんでした。

• その後、オフラインになりました。

少なくとも、これはウォレット拡張機能からの予期しないアウトゴーイング通信を示しています。

ステップ6：攻撃者は即座に行動した

シードフレーズのインポート直後に、ユーザーから次の報告がありました：

• 数分以内にウォレットが空になった。

• 複数の資産が素早く移動された。

• 追加のユーザー操作は不要だった。

オンチェーンの挙動は次の通り：

• 自動化された取引パターン。

• 複数の宛先アドレス。

• 明らかなフィッシング承認フローはなし。

これは、攻撃者がすでに十分なアクセス権を持ち、取引に署名できたことを示唆しています。

ステップ7：資金は複数のアドレスに集約された

盗まれた資産は、攻撃者が管理する複数のウォレットを経由してルーティングされました。

なぜこれが重要か：

• 協調またはスクリプトによる操作を示唆します。

• 単一のアドレスへの依存を減らします。

• 組織的な攻撃の行動と一致します。

追跡されたアドレスに基づく推定では、数百万ドルが移動したと考えられますが、総額は変動します。

ステップ8：ドメインが消えた

注目が高まった後：

• 疑わしいドメインは応答しなくなった。

• すぐに公的な説明はなかった。

• スクリーンショットやキャッシュされた証拠が重要になった。

これは、攻撃者が公開後にインフラを破壊したことと一致します。

ステップ9：公式の認識は後から発表された

Trust Walletは後に次のことを認めました：

• セキュリティインシデントは特定のバージョンのブラウザ拡張に影響した。

• モバイルユーザーには影響しなかった。

• ユーザーはアップグレードまたは拡張機能を無効にすべき。

ただし、なぜドメインが存在したのか、シードフレーズが漏洩したのか、これが内部、サードパーティ、または外部の問題だったのかについては、すぐに詳細な技術的説明はありませんでした。

このギャップが継続的な憶測を呼びました。

何が確認されているか

• ブラウザ拡張機能のアップデートにより、新しいアウトゴーイング動作が導入された。

• ユーザーはシードフレーズをインポートした直後に資金を失った。

• 事件は特定のバージョンに限定された。

• Trust Walletはセキュリティ問題を認めた。

何が強く疑われているか

• サプライチェーンの問題または悪意のあるコードの注入。

• シードフレーズや署名能力の漏洩。

• 分析ロジックの悪用や兵器化。

まだ不明な点

• コードが意図的に悪意のあるものだったのか、または上流で侵害されたのか。

• 何人のユーザーが影響を受けたのか。

• 他に取得されたデータがあったのか。

• 攻撃者の正確な特定。

この事件が重要な理由

これは典型的なフィッシングではありませんでした。

以下を浮き彫りにします：

• ブラウザ拡張の危険性。

• アップデートを盲信するリスク。

• 分析コードの悪用例。

• シードフレーズの取り扱いがウォレットのセキュリティで最も重要な瞬間である理由。

短期間の脆弱性でも深刻な結果を招く可能性があります。