ZachXBTが、Trust Walletユーザーから少なくとも600万ドルが盗まれたことを公表 — 原因はブラウザー拡張機能の脆弱性

画像: https://x.com/DegenerateNews/status/2004283308059083250/photo/1

インシデントの背景と最新情報

最近、オンチェーン調査員ZachXBTが、ソーシャルメディアおよびブロックチェーン監視ツールを通じて重大なセキュリティ警告を発表し、Trust Walletブラウザ拡張機能の脆弱性を明らかにしました。この脆弱性により、数百名のユーザーから暗号資産が短期間で不正送金・盗難されました。初動監視の推計では、被害総額は少なくとも600万ドルに上るとされています。

本件は暗号資産コミュニティ内で瞬く間に拡散し、ユーザーと業界関係者の間で大きな関心を集めました。ZachXBTの監視データによると、複数のウォレットアドレスで同時に不審な資金流出が発生し、これらの資金は不明なアドレスや中継口座を経由してさらに移動しています。

損失状況と被害ユーザー規模の分析

最新の追跡データでは、数百人規模の被害者が特定されており、損失はETH、BTC、SOLなど複数のブロックチェーンと資産に及んでいます。異常は単一チェーンに留まらず、多数のウォレットアドレスに分散して発生しており、事件の大規模さが浮き彫りになっています。

ZachXBTは最新の報告で、被害ウォレット数が非常に多いため、各アドレスの損失を個別に検証するのは困難だと説明しています。しかし、現時点での暫定推計でも被害額はすでに600万ドルを超えており、今後さらなる被害報告が見込まれます。

盗難資金の流れと攻撃手法

資金移動の現状分析から、今回の盗難はブラウザ拡張機能の脆弱性、特にユーザーがプライベートキーやシードフレーズをインポートした際に発生したことが示唆されています。複数の被害者が、資金が即座に不明なアカウントへ流出したと報告しており、攻撃者が即時アクセスしていたことが分かります。

オンチェーンデータによると、攻撃は高度に自動化されており、盗難資金は迅速に分散・クロスチェーンで移動されています。このパターンは従来のハッキングとは異なり、ホットウォレット拡張機能の脆弱性を狙ったサプライチェーン型の攻撃に近いものです。

Trust Wallet公式の対応とユーザーの行動指針

画像: https://x.com/TrustWallet/status/2004316503701958786

Trust Walletは、ブラウザ拡張機能のバージョン2.68に重大な脆弱性が存在することを認め、セキュリティ警告を発表しました。ユーザーには直ちにこのバージョンの利用を中止し、2.69以降へアップグレードするよう呼びかけています。公式声明では、モバイルアプリや他の拡張機能バージョンは本脆弱性の影響を受けないことも明記されています。

影響を受けたユーザーは、次の対応を取る必要があります:

• 旧バージョンの利用を直ちに停止し、最新版へアップグレードする \
• ウォレットに資産が残っている場合は、速やかにコールドウォレットなどの安全な手段に移動する \
• 盗難資産は公式サポート窓口で報告し、関連するオンチェーン証拠をすべて保管する \

セキュリティ上の教訓と業界への影響

本インシデントは、セルフカストディウォレットにおけるユーザー体験とセキュリティの両立という課題を改めて浮き彫りにしました。ブラウザ拡張は利便性が高い反面、プライベートキー漏洩や悪意ある攻撃のリスクを増大させます。特に脆弱な拡張機能にニーモニックやシードフレーズを直接入力すると、資産が数分で流出する可能性があります。

業界のセキュリティ専門家は、プライベートキー管理の徹底、ハードウェアウォレットや十分な監査を受けたセキュリティソリューションの活用、未検証クライアントや拡張機能へのシードフレーズ入力の回避を推奨しています。本件を受け、ウォレット開発者によるサプライチェーンセキュリティ評価やコード監査の強化も促進され、エコシステム全体の防御力向上が期待されます。

まとめ

ZachXBTによるTrust Walletブラウザ拡張機能の脆弱性の最新開示は、暗号資産ユーザーがウォレットのセキュリティを最優先し、拡張機能のリスクに常に注意を払う必要性を強調しています。本件では数百人が少なくとも600万ドルの損失を被り、セルフカストディウォレットのセキュリティが再び問われる事態となりました。ユーザーは迅速なセキュリティ対策の実施、公式情報の随時確認、安全な資産管理手法の導入を徹底し、同様の被害を未然に防ぐことが不可欠です。