昨年12月、Trust Walletはバージョン2.68のChrome拡張機能に関連するセキュリティインシデントを確認しました。悪意のあるスクリプトがパッケージに埋め込まれ、ユーザーの秘密情報(シードフレーズや秘密鍵)を傍受できる状態でした。同社は12月25日にバージョン2.69をリリースしましたが、既に被害は発生していました。これまでの推定によると、被害者は複数のブロックチェーンにまたがり、600万ドルから700万ドル以上を失ったとされています。## 攻撃の流れ – JavaScriptの見えないコード感染したバージョン2.68のパッケージを分析した専門家は、「4482.js」と名付けられたファイルに疑わしいロジックを発見しました。調査によると、このコードは秘密情報を外部サーバーに自動的に送信するよう設計されていました。スクリプトはユーザーの知らないうちにバックグラウンドで動作し、シードフレーズを入力またはインポートした際に作動しました。この拡張機能はWebアプリケーションとトランザクション署名のプロセスの間の重要なポイントに位置しています。つまり、このレベルでの侵害は、ユーザーが操作の検証に使用する入力データにアクセスできることを意味します。悪意のあるスクリプトは、このセキュリティの脆弱性を悪用しました。## 対象となったのは誰か – 被害者の推定範囲Chrome Web Storeによると、Trust Walletの拡張機能は約100万人のユーザーにインストールされていました。しかし、実際のインシデントの範囲はそれより小さく、バージョン2.68をインストールし、動作中に秘密情報を入力した人数に依存します。最大のリスクにさらされたのは、以下の条件に該当するユーザーです:- 感染したバージョン2.68をインストールした- この期間中にシードフレーズを入力またはインポートした- この拡張機能を通じてトランザクションを承認したモバイルユーザーや他のバージョンの拡張機能は問題の対象外であり、リスクの範囲を限定しました。## 今後の対応 – 各ユーザーのための保護手順単なるバージョン2.69へのアップデートだけでは不十分です。新バージョンは悪意のあるコードを除去し、将来の攻撃を防ぎますが、シードフレーズが既に漏洩している場合は資産を自動的に保護しません。安全に対処するために、次の手順を実行してください:**1. 自分が危険にさらされているか確認:**- バージョン2.68をインストールしていたか?- その期間中にシードフレーズを入力またはインポートしたか?**2. 「はい」の場合:**- 現在のシードフレーズは漏洩したとみなす- 新しいシードフレーズで新しいウォレットを作成し、すべての資金を移動する- 可能な限りトークンの承認を取り消す**3. 拡張機能を更新:**- 直ちにバージョン2.68を無効にする- Chrome Web Storeからバージョン2.69をインストール- アプリが公式の出所からのものであることを確認**4. 追加の注意点:**- シードフレーズが漏洩した可能性のあるシステムはすべて危険とみなす- Trust Walletのチームになりすますプライベートメッセージには返信しない- 「fix」などのドメインをコピーした詐欺サイトに注意(偽の修正ページを大量に配布)資金の移動には運用コストがかかる場合があります。特に複数のブロックチェーンにポジションを持つ場合、ガス代やクロスチェーンのブリッジリスクが高まりますが、安全性を最優先にしてください。## 市場の反応 – TWTの現在価格Trust Wallet Token (TWT)は、インシデントに対して比較的安定した反応を示しています。現在の価格は約**0.88 USD**で、24時間で2.19%下落しています。過去24時間の最高値は0.90 USD、最低値は0.86 USDです。市場は大きな動きは見せておらず、投資家は今後の企業からの公式発表や資金返還の詳細を待っている状況です。## 被害額の推定 – 今後数週間のシナリオ初期の推定被害額は600万ドルから700万ドルでしたが、今後の状況次第で変動する可能性があります:- 被害者からの遅延報告- オンチェーンアドレスの再分類- クロスチェーンの出金状況の改善- 追加の攻撃ベクトルの発見今後2〜8週間のシナリオ予測:| シナリオ | 推定被害額 | 発生確率 ||-----------|--------------|----------|| 限定的範囲 | 6000万〜1億2000万ドル | 40% || 中程度の拡大 | 1億5000万〜2億5000万ドル | 35% || 深刻な再評価 | 2億5000万ドル超 | 25% |## 事後の教訓 – 業界への示唆このインシデントは、ブラウザ拡張機能のセキュリティモデルの構造的な脆弱性を浮き彫りにしました。学術研究では、悪意のあるまたは侵害された拡張機能がChrome Web Storeの自動検査を回避できることが示されています。「コンセプトのドリフト」と呼ばれる現象は、攻撃者の戦術が変動し続けることで、静的な防御手法の効果を弱めることを意味します。業界は現在、以下の対策を求めています:- ソースコードの再コンパイルの徹底- 鍵分割による署名- 緊急修正時のリコール手順の明確化- 事故後のレポートの透明性向上Trust Walletは、被害者向けに資金返還の詳細な手順を公開する予定です。最初のステップは、どれだけのユーザーが危険にさらされたか、悪意のあるスクリプトがどのデータを漏洩させたか、資金の実際の流出経路を確認することです。## 最終的な推奨事項Trust Walletは以下の指針を強調しています:- 直ちにバージョン2.68を無効にする- 公式Chrome Web Storeからバージョン2.69にアップデート- バージョン2.68でシードフレーズを入力した場合は、すべての資金を移動- 非公式チャネルからのメッセージは信用しない悪意のあるスクリプトのインシデントは、どんなに信頼性の高いシステムでも100%安全ではないことを思い出させるものです。ユーザー教育とリスク認識が、こうした攻撃から身を守る最良の防御策です。
Trust Wallet Chromeのデータ漏洩:悪意のあるスクリプトがユーザーの秘密鍵を攻撃
昨年12月、Trust Walletはバージョン2.68のChrome拡張機能に関連するセキュリティインシデントを確認しました。悪意のあるスクリプトがパッケージに埋め込まれ、ユーザーの秘密情報(シードフレーズや秘密鍵)を傍受できる状態でした。同社は12月25日にバージョン2.69をリリースしましたが、既に被害は発生していました。これまでの推定によると、被害者は複数のブロックチェーンにまたがり、600万ドルから700万ドル以上を失ったとされています。
攻撃の流れ – JavaScriptの見えないコード
感染したバージョン2.68のパッケージを分析した専門家は、「4482.js」と名付けられたファイルに疑わしいロジックを発見しました。調査によると、このコードは秘密情報を外部サーバーに自動的に送信するよう設計されていました。スクリプトはユーザーの知らないうちにバックグラウンドで動作し、シードフレーズを入力またはインポートした際に作動しました。
この拡張機能はWebアプリケーションとトランザクション署名のプロセスの間の重要なポイントに位置しています。つまり、このレベルでの侵害は、ユーザーが操作の検証に使用する入力データにアクセスできることを意味します。悪意のあるスクリプトは、このセキュリティの脆弱性を悪用しました。
対象となったのは誰か – 被害者の推定範囲
Chrome Web Storeによると、Trust Walletの拡張機能は約100万人のユーザーにインストールされていました。しかし、実際のインシデントの範囲はそれより小さく、バージョン2.68をインストールし、動作中に秘密情報を入力した人数に依存します。
最大のリスクにさらされたのは、以下の条件に該当するユーザーです:
モバイルユーザーや他のバージョンの拡張機能は問題の対象外であり、リスクの範囲を限定しました。
今後の対応 – 各ユーザーのための保護手順
単なるバージョン2.69へのアップデートだけでは不十分です。新バージョンは悪意のあるコードを除去し、将来の攻撃を防ぎますが、シードフレーズが既に漏洩している場合は資産を自動的に保護しません。
安全に対処するために、次の手順を実行してください:
1. 自分が危険にさらされているか確認:
2. 「はい」の場合:
3. 拡張機能を更新:
4. 追加の注意点:
資金の移動には運用コストがかかる場合があります。特に複数のブロックチェーンにポジションを持つ場合、ガス代やクロスチェーンのブリッジリスクが高まりますが、安全性を最優先にしてください。
市場の反応 – TWTの現在価格
Trust Wallet Token (TWT)は、インシデントに対して比較的安定した反応を示しています。現在の価格は約0.88 USDで、24時間で2.19%下落しています。過去24時間の最高値は0.90 USD、最低値は0.86 USDです。
市場は大きな動きは見せておらず、投資家は今後の企業からの公式発表や資金返還の詳細を待っている状況です。
被害額の推定 – 今後数週間のシナリオ
初期の推定被害額は600万ドルから700万ドルでしたが、今後の状況次第で変動する可能性があります:
今後2〜8週間のシナリオ予測:
事後の教訓 – 業界への示唆
このインシデントは、ブラウザ拡張機能のセキュリティモデルの構造的な脆弱性を浮き彫りにしました。学術研究では、悪意のあるまたは侵害された拡張機能がChrome Web Storeの自動検査を回避できることが示されています。「コンセプトのドリフト」と呼ばれる現象は、攻撃者の戦術が変動し続けることで、静的な防御手法の効果を弱めることを意味します。
業界は現在、以下の対策を求めています:
Trust Walletは、被害者向けに資金返還の詳細な手順を公開する予定です。最初のステップは、どれだけのユーザーが危険にさらされたか、悪意のあるスクリプトがどのデータを漏洩させたか、資金の実際の流出経路を確認することです。
最終的な推奨事項
Trust Walletは以下の指針を強調しています:
悪意のあるスクリプトのインシデントは、どんなに信頼性の高いシステムでも100%安全ではないことを思い出させるものです。ユーザー教育とリスク認識が、こうした攻撃から身を守る最良の防御策です。