Trust Wallet クリスマス強盗！ZachXBT 警告 Chrome 更新後に集団で盗まれる

12 月 25 日聖誕節當天、多名 Trust Wallet ユーザーは目覚めるとウォレット資金が未承認のまま送金されていることに気づき、損失額は不明です。ブロックチェーン調査員 ZachXBT は Telegram グループで緊急警報を発し、これらの盗難事件は Trust Wallet Chrome 拡張機能の 12 月 24 日のアップデート後に発生しており、時間的に非常に疑わしいと指摘しています。

クリスマス攻撃のタイムライン：24 時間以内の完璧な嵐

事件のタイムラインは攻撃者の綿密な計画を示しています。12 月 24 日のクリスマスイブに、Trust Wallet は Chrome Web Store に拡張機能のアップデートをプッシュし、多くのユーザーは祝祭の雰囲気の中で自動または手動で更新しました。12 月 25 日のクリスマス早朝、米国東部時間の深夜から午前にかけて、最初の被害者が資金の異常な送金に気づきました。ZachXBT は複数の報告を受けて、現地時間正午に Telegram で公開警報を出し、Trust Wallet ユーザーに直ちにウォレットを確認するよう呼びかけました。

この時期の選択は偶然ではありません。クリスマス期間中は開発チームの人員が減少し、カスタマーサポートの対応も遅れ、ユーザーの警戒心も低下します。これにより攻撃者にとって絶好のチャンスとなりました。類似の戦略は 2022 年の Slope ウォレット攻撃でも見られ、攻撃者は週末の時間帯を利用して 8,000 を超える Solana ウォレットの資金を盗みました。今回の Trust Wallet の沈黙はさらにパニックを煽り、ユーザーはソーシャルメディア上で公式に連絡できず明確な回答を得られないと不満を募らせています。

ZachXBT は警報の中で特に「根本原因は未確定」と強調していますが、Chrome 拡張機能のアップデートに矛先を向けています。この詳細は非常に重要であり、調査の方向性をユーザーの個人的なミスからシステムの脆弱性へと変えるものです。もし拡張機能自体の問題であると確認されれば、Trust Wallet は大きな法的および評判のリスクに直面します。現在、ZachXBT は被害者のウォレットアドレスを収集し、盗まれた資金の流れや攻撃パターンの追跡を試みています。

Chrome 拡張機能：暗号資産ウォレットのトロイの木馬

ブラウザ拡張機能の高い権限は、攻撃者にとって理想的なターゲットとなります。Chrome 拡張は、ユーザーがアクセスするすべてのウェブページの内容を読み取り、変更できるほか、ネットワークリクエストを傍受し、任意のスクリプトを注入し、ローカルストレージにアクセスすることも可能です。暗号資産ウォレットの拡張にとって、これらの権限は次のことを意味します：ユーザーが入力したシードフレーズや秘密鍵を捕捉、取引の宛先アドレスや金額を変更、署名リクエストを傍受して取引データを置き換え、ブラウザに保存された暗号セッションにアクセスする。

セキュリティ研究者は何度も警告しています。悪意のあるアップデートや改ざんされた依存関係が一つでもあれば、何百万ものユーザーがリスクにさらされる可能性があります。2023 年 11 月、「Ledger Connect Kit」と呼ばれる人気ライブラリが攻撃者に侵入され、複数の DeFi フロントエンドに影響を及ぼし、ユーザーは 48 万ドル以上の損失を被りました。この攻撃はサプライチェーン攻撃の威力を証明しています。攻撃者はウォレットアプリに直接侵入する必要はなく、依存している上流のライブラリを制御するだけで済むのです。

ブラウザウォレットの三大システムリスク

自動更新メカニズム：拡張機能はデフォルトで自動更新され、ユーザーはコードの変更を審査せずに新バージョンを受け入れる必要があります

権限濫用：正規の拡張機能もアップデートで悪意のあるコードを追加し、付与された広範な権限を利用して資産を盗む可能性があります

依存チェーンの脆弱性：ウォレットが依存するサードパーティライブラリが侵害されると、すべての下流アプリに影響し、ユーザーは気づきません

近頃も同様の脅威が複数報告されています。セキュリティ企業の報告によると、一部の偽のウォレット拡張はシードフレーズを盗むために特別に設計されており、攻撃者はこれらのフレーズを使ってウォレットを完全に再構築し、その後資金を盗みます。より巧妙な攻撃は、悪意のある取引「アシスタント」拡張によるもので、これらは密かに取引指示を改ざんし、ユーザーが承認するたびに少額の暗号資産を盗みます。金額が微小なため気づかれにくいのです。

被害者の対処と資産救出ガイド

被害を疑う Trust Wallet ユーザーにとって、時間は非常に重要です。最優先すべきは、直近 48 時間の取引履歴を確認し、未承認のトークン送金、コントラクトとのインタラクション、承認署名に特に注意することです。疑わしい取引を発見した場合は、すぐに次の行動を取ります：Trust Wallet Chrome 拡張を無効化または削除し、chrome://extensions へアクセスして無効化；すべての DeFi 承認を取り消す（Revoke.cash や Etherscan の Token Approvals 機能を利用）；新しいウォレットを作成し、新たに生成したシードフレーズを使って復元；残存資産を新しいウォレットに移す。ただし、監視されている可能性のあるデバイスは避ける。

ZachXBT は被害者に対し、積極的に法執行機関に連絡し、詳細な取引記録を提供するよう勧めています。暗号資産の窃盗事件の解決率は高くありませんが、正式な記録を作成することは、将来的な集団訴訟や保険請求にとって非常に重要です。同時に、ユーザーは ZachXBT の Telegram グループや関連コミュニティフォーラムに被害状況を報告し、盗まれた金額やウォレットアドレスを提供して、調査員が攻撃の全体像を構築できるよう支援します。

未だ被害に遭っていない Trust Wallet ユーザーは、次の予防策を講じてください：Chrome 拡張の使用を一時停止し、モバイルアプリやハードウェアウォレットに切り替える；不要な DeFi コントラクトの承認を確認し取り消す；状況が明らかになるまで新たな取引や承認を控える；シードフレーズを定期的にバックアップし、オフライン環境に保管する；大きな資産は Ledger や Trezor などのハードウェアウォレットに移すことも検討してください。

Trust Wallet 公式の対応不足が信頼危機を招く

発表時点で、Trust Wallet は Chrome 拡張機能のアップデートが直接の原因かどうかを確認した正式な声明を出しておらず、技術的詳細や補償策も提示していません。この沈黙は暗号コミュニティ内で強い不満を引き起こしています。ユーザーは X プラットフォームや Reddit でカスタマーサポートに連絡できないと不満を漏らし、公式アカウントはこの事件に目をつぶり、むしろ祝祭の挨拶を続けており、被害者の不安と対照的です。

Trust Wallet は Binance 傘下の暗号資産ウォレットで、数千万のユーザーを抱えるとされています。この規模のセキュリティ事件が事実であれば、その市場での地位に壊滅的な打撃を与えるでしょう。過去には、2022 年の Slope ウォレットの秘密鍵流出事件後、ユーザー数は70%以上減少し、未だに回復していません。Trust Wallet も今回の危機を迅速かつ透明に処理できなければ、同様の運命をたどる可能性があります。