暗号通貨ウォレット Trust Wallet のブラウザ拡張機能 v2.68 にセキュリティ脆弱性が発見され、約700万ドル相当のユーザー資金が盗まれました。バイナンス創設者のCZは、Trust Walletは影響を受けたユーザーの損失を全額補償し、該バージョンを使用しているユーザーは直ちに対策を講じてウォレットの安全を確保するよう呼びかけています。 Trust Walletのユーザーはクリスマス当日に巧妙に仕組まれた脆弱性攻撃に遭い、最終的に約700万ドルを失いました。報道によると、この脆弱性攻撃は12月初旬から計画されていたとのことです。ネットセキュリティ企業SlowMistは、これらの悪意ある拡張機能がユーザーの個人情報を継続的に外部に送信していると指摘しています。 Trust Walletは以前、Xに投稿し、Trust Walletのブラウザ拡張機能バージョン2.68がセキュリティ事件の影響を受けており、デスクトップユーザーに影響していると伝え、公式はユーザーに対しバージョン2.69へのアップグレードを推奨しています。 関連ニュース:Trust Walletのブラウザ拡張機能に脆弱性が発覚、ユーザー資金が600万ドル超盗難 バイナンス共同創設者のCZは金曜日のX投稿で、被害資金は補償されると述べ、「今回のハッキングにより700万ドルの損失が出ています。補償します。ユーザーの資金は安全です」としています。さらに、Trust Walletチームはハッカーがどのようにして新バージョンを提出したのかを調査中であるとも述べています。
これまでに$7m このハッキングの影響を受けています。@TrustWalletは補償します。ユーザー資金はSAFUです。ご不便をおかけして申し訳ありません。🙏
チームは、ハッカーがどのようにして新バージョンを提出できたのかを調査中です。
— CZ 🔶 BNB (@cz_binance) 2025年12月26日
暗号通貨ウォレットの脆弱性は、デジタル資産投資家にとってますます深刻な脅威となっています。Chainalysisのデータによると、2025年に盗まれた金額はすでに34億ドルを超え、そのうち2月のBybitの盗難事件だけで最終的に約15億ドルの損失をもたらしました。2025年には個人ウォレットの盗難事件が激増し、158,000件に上り、影響を受けた被害者は80,000人にのぼりますが、盗難総額(7.13億ドル)は2024年と比べて減少しています。 関連ニュース:Bybitの盗難額は14億ドル追跡進展中:資金の約28%が「断絶」、資産の3.84%を凍結成功 Trust Walletの脆弱性により暗号産業の関係者が懸念を表明 ブロックチェーンセキュリティ企業SlowMistの創設者余弦は、彼の投稿で、Trust Walletへの攻撃の計画者は12月8日から準備を始めていたと観察しています。
Trust Walletのブラウザ拡張にはバックドアバージョンの2.68.0があり、修正版は2.69.0です。比較すると、正常なコードとバックドアコードの差異が図示されています。
バックドアコードは、PostHogを追加してウォレットユーザーのさまざまなプライバシー情報(助記詞を含む)を収集し、攻撃者のサーバーapi.metrics-trustwallet[.]comに送信しています。
推定タイムライン:攻撃者は少なくとも12.8… pic.twitter.com/FOLjD6aPar
— Cos(余弦)😶🌫️ (@evilcos) 2025年12月26日
余弦は、Trust Walletのブラウザ拡張にバックドアバージョンの2.68.0があり、修正後は2.69.0であると指摘し、「バックドアコードは、PostHogを追加してウォレットユーザーのさまざまなプライバシー情報(助記詞を含む)を収集し、攻撃者のサーバーapi.metrics-trustwallet[.]comに送信しています。推定タイムラインは、攻撃者が少なくとも12.8(12月8日)から準備を始め、12.22にバックドアを仕込み、12.25のクリスマスに資金移動を開始し、発見された」と述べています。 一部の業界関係者は、この脆弱性の悪用には内部関係者の活動の兆候がある可能性があると指摘しています。攻撃者は、Trust Walletの新バージョンをウェブサイトに提出できたため、「この『ハッキング』は自然ではない。内部関係者の犯行の可能性が非常に高い」とのことです。
コミュニティ内からは、「間違いなくチーム内部の人物(犯行)」との意見もあり、CZ本人もその可能性を示唆しています。SlowMistはさらに、攻撃者は「Trust Wallet拡張機能のソースコードに非常に詳しい」と指摘し、これによりハッカーは敏感なユーザー情報を収集するためのバックドアコードを実現できたとしています。
