最近のクリスマス休暇中に、広く利用されている非保管式ウォレットのTrust Walletは、深刻なサプライチェーン攻撃を確認しました。公式な報告によると、セキュリティ侵害によって約 700万ドル 損失において、直接的に影響を与える 2,596 ウォレット アドレス。
インシデントの深刻さにもかかわらず、Trust Walletのリーダーシップとバイナンスの共同創業者チェンピン・チャオ(CZ)は明確なコミットメントを表明しました。 Trust Walletはすべての確認済み損失を補償しますユーザー資産が「SAFU」のままであることを保証し、
-
インシデント分析:700万ドルのエクスプロイトが発生した経緯
この侵害の根本的な原因は…にまで遡る Trust Wallet Chromeブラウザ拡張機能 バージョン2.68。
-
攻撃ベクトル: 攻撃者は、漏洩したChrome Web Store APIキーを介して、配布チャネルを侵害し、悪意のあるアップデートを配信しました。
-
技術的詳細: セキュリティ企業のスローミストは、攻撃者が拡張機能のコードにバックドアを仕掛けたことを特定しました。このマルウェアスクリプトは、メモニックフレーズや秘密鍵を狙い撃ちし、合法的なposthog-js分析ライブラリをカモフラージュとして使用して、機密情報を攻撃者管理のサーバーに送信していました。
-
影響範囲: この侵害は非常に特定的であり、デスクトップユーザーで、またはにログインしたユーザーにのみ影響を与えた。 v2.68 拡張 2025年12月24日から12月26日までモバイルアプリのユーザーおよび他のブラウザバージョンを使用しているユーザーは影響を受けませんでした。
-
トラストウォレット補償計画:2,596件の正当な請求の処理
Trust Wallet CEOのイーワイン・チェン氏は最近、補償計画の進捗状況について更新情報を提供した。ながら 2,596件の影響を受けたウォレットアドレス が特定されると、チームはすでにほぼ5,000件の請求を受け取っており、その多くは重複しているか、払い戻しプロセスを悪用しようとする詐欺的な試みであるように思われる。
影響を受けたユーザーの払い戻し請求ガイド:
-
検証フェーズ: チームは現在、チェーン上の法医学を実施し、特定されたリストにある侵害されたアドレスに関するすべての主張を検証しています。
-
提出ポータル: 被害者は、公式なものを使用するよう指示されています。 Trust Wallet サポートフォーム 自分の詳細を提出する。
-
必須情報: ご連絡用のメールアドレス、侵害されたウォレットアドレス、攻撃者の宛先アドレス、および不正送金の特定のトランザクションハッシュ(TXID)を提供する必要があります。
-
Trust Walletユーザー向けの基本的なセキュリティ対策
この最近のセキュリティ侵害を踏まえ、すべてのユーザーは直ちにデジタル資産を保護する措置を講じるべきです。
-
即時更新: 拡張機能が最新版になっていることを確認してください。 v2.69 以上です。バージョン2.68は直ちに無効化し、削除してください。
-
資金の移行: セキュリティの専門家は、不正アクセスされたv2.68版とやりとりを行ったすべての人が、新しい復元フレーズを用いてまったく新しいウォレットアドレスを作成し、そこに残っている資金を移動すべきだと推奨しています。
-
詐欺に注意してください: 偽の「補償」ウェブサイトやテレグラムアカウントに注意してください。Trust Wallet は返金を処理するために、決して復元フレーズや秘密鍵を要求しません。
-
業界への影響:非カストディアルウォレットの回復力
この出来事は、非カストディアルツールの配布における重大な脆弱性を浮き彫りにしています。ウォレット自体は分散型であるにもかかわらず、「サプライチェーン」(例えばChromeウェブストア)は依然として集中した障害の起点となっています。しかし、Trust Walletの迅速な対応と全額補償の約束は、プラットフォームの責任の在り方に関する業界の新たな基準を設定しました。
より規制が強化される時代を迎える中、提供者が提供する能力は フル補償コミットメント 主要なエクスプロイトの後で信頼の維持と長期的な採用において重要な要素となる可能性があります。
サマリー:
Trust Walletが影響を受けた2,596のウォレットに対して積極的に対応したことは、コミュニティの不安を大幅に和らげました。Trust Walletブラウザ拡張機能のセキュリティにおける正確な脆弱性を特定し、明確な回復方法を提示することで、プラットフォームはWeb3への主要なゲートウェイとしての評判を回復しようとしています。