Trust Wallet ブラウザ拡張機能に脆弱性が発覚、ユーザー資金が600万ドル以上盗まれる

オンチェーン探偵 ZachXBT 25日レポートによると、複数のTrust Walletユーザーから、数時間以内にウォレットアドレスから未承認の資金流出が発生したとの報告が寄せられています。初期監視と総合レポートによると、オンチェーン追跡の結果、被害者は数百人にのぼり、これまでに盗まれた資金は少なくとも600万ドルに達しています。

We’ve identified a security incident affecting Trust Wallet Browser Extension version 2.68 only. Users with Browser Extension 2.68 should disable and upgrade to 2.69.

Please refer to the official Chrome Webstore link here: https://t.co/V3vMq31TKb

Please note: Mobile-only users…

— Trust Wallet (@TrustWallet) 2025年12月25日

Trust Walletは公式X（旧Twitter）で緊急通知を発表し、ブラウザ拡張機能のバージョン2.68にセキュリティ脆弱性が存在することを指摘しました。影響を受けるユーザーは2.68を無効にし、公式Chromeウェブストアから2.69にアップグレードすることを推奨しています。アップデート完了まで、影響を受けるバージョンを開かないようにしてください。Trust Walletは、モバイルアプリと他の拡張機能バージョンは影響を受けていないと述べており、チームは積極的に調査を進めています。26日現在、公式から補償の詳細は発表されていません。

オンチェーン監視機関の公開チェーン分析によると、多くの影響を受けたアドレスの資金は、攻撃者が管理するウォレットに迅速に自動転送されていることが判明しています。このパターンは、拡張機能やフロントエンドの損傷事件に共通しており、悪意のあるアップデートや脆弱性により、未承認の署名リクエストや秘密鍵の漏洩が引き起こされる可能性があります。Trust Walletは拡張機能のアップデート後に初めて調査を開始したため、コミュニティはバージョン2.68に脆弱性が導入または露出されたのかどうかについて懸念を抱いています。調査継続中に、ユーザーは以下の実践的な対策を取ることが推奨されます：もしバージョン2.68をインストールしている場合は、Chrome拡張機能を無効にし、Trust Walletが提供する公式Chromeウェブストアのリンクからのみアップグレードを行うこと。残りの資金をハードウェア（コールド）ウォレットに移すか、安全な手順で新しいウォレットを作成してください。アドレスのオンチェーン活動を確認し、疑わしい盗難についてTrust Walletサポートに報告し、資金の流れを追跡できるようにしてください。ネットワークセキュリティチームは、迅速な対応、証拠（取引ハッシュ、タイムスタンプ、拡張機能のバージョン）の慎重な保存、取引所やチェーン分析者との調整により、追跡と盗まれた資産の凍結の可能性が高まると指摘しています。