ウォレットを枯渇させたアップデート

Trust Walletインシデントで実際に何が起こったのか

ステップ1:新しいブラウザ拡張機能のアップデートがリリースされた

12月24日、Trust Walletブラウザ拡張機能の新しいアップデートがリリースされました。

• このアップデートは通常のものに見えました。

• 主要なセキュリティ警告は付属していませんでした。

• ユーザーは通常のアップデートプロセスを通じてインストールしました。

この時点では、何も疑わしいものはありませんでした。

ステップ2:拡張機能に新しいコードが追加された

アップデート後、拡張機能のファイルを調査していた研究者たちは、4482.jsとして知られるJavaScriptファイルの変更に気付きました。

重要な観察:

ブラウザウォレットは非常に敏感な環境であるため、これは重要です。新しい外部送信ロジックは高いリスクをもたらします。

ステップ3:コードが「分析」を装った

追加されたロジックは、分析またはテレメトリコードとして表示されました。

具体的には:

• 一般的な分析SDKで使用される追跡ロジックのように見えました。

• 常に発動するわけではありませんでした。

• 特定の条件下でのみ起動しました。

この設計により、通常のテスト中に検出することが困難になりました。

ステップ4:トリガー条件 — シードフレーズのインポート

コミュニティのリバースエンジニアリングによると、ユーザーがシードフレーズを拡張機能にインポートしたときにロジックが発動されたことが示唆されています。

これが重要な理由:

• シードフレーズをインポートすると、ウォレットに完全な制御が与えられます。

• これは一度きりの、価値の高い瞬間です。

• 悪意のあるコードは一度だけ動作すればよいのです。

既存のウォレットのみを使用していたユーザーは、このパスを発動しなかった可能性があります。

ステップ5:ウォレットデータが外部に送信された

トリガー条件が発生したとき、コードは外部エンドポイントにデータを送信したとされています:

metrics-trustwallet[.]com

警告を引き起こしたもの:

• ドメインは正規のTrust Walletサブドメインに非常に似ていました。

• 数日前に登録されたばかりでした。

• 公式には文書化されていませんでした。

• 後にオフラインになりました。

少なくとも、これはウォレット拡張機能からの予期しない外部通信を確認しています。

ステップ6:攻撃者が即座に行動した

シードフレーズのインポート直後、ユーザーは以下を報告しました:

• 数分以内にウォレットが空になった。

• 複数の資産が迅速に移動した。

• それ以上のユーザーの操作は必要なかった。

オンチェーンの動作は以下を示しました:

• 自動化された取引パターン。

• 複数の送信先アドレス。

• 明白なフィッシング承認フローはなし。

これは、攻撃者がすでに取引に署名するのに十分なアクセス権を持っていたことを示唆しています。

ステップ7:資金が複数のアドレスに集約された

盗まれた資産は、攻撃者が管理する複数のウォレットを経由してルーティングされました。

これが重要な理由:

• 調整またはスクリプトの使用を示唆しています。

• 単一アドレスへの依存を減らします。

• 組織的な悪用で見られる行動と一致します。

追跡されたアドレスに基づく推定では、数百万ドルが移動したことが示唆されていますが、合計額は様々です。

ステップ8:ドメインが使用不能になった

注目が高まった後:

• 疑わしいドメインが応答を停止しました。

• すぐに公式説明はありませんでした。

• スクリーンショットとキャッシュされた証拠が重要になりました。

これは、攻撃者が露見した後にインフラを破壊することと一致しています。

ステップ9:公式の確認が後に来た

Trust Walletは後に以下を確認しました:

• アカウントセキュリティーインシデントがブラウザ拡張機能の特定バージョンに影響を与えた。

• モバイルユーザーは影響を受けなかった。

• ユーザーは拡張機能をアップグレードまたは無効化する必要がある。

しかし、以下を説明する完全な技術的内訳はすぐには提供されませんでした:

• なぜドメインが存在したのか。

• シードフレーズが露出したかどうか。

• これが内部、サードパーティ、または外部の問題だったかどうか。

この空白が継続的な憶測を煽りました。

確認されていること

• ブラウザ拡張機能のアップデートが新しい外部送信動作を導入した。

• シードフレーズのインポート直後にユーザーが資金を失った。

• インシデントは特定バージョンに限定されていた。

• Trust Walletがアカウントセキュリティーの問題を認めた。

強く疑われていること

• サプライチェーンの問題または悪意のあるコードインジェクション。

• シードフレーズまたは署名能力が露出した。

• 分析ロジックが悪用または武器化された。

まだ不明なこと

• コードが意図的に悪意のあるものだったか、上流で侵害されたか。

• 何人のユーザーが影響を受けたか。

• 他のデータが取られたかどうか。

• 攻撃者の正確な帰属。

このインシデントが重要な理由

これは典型的なフィッシングではありませんでした。

以下を強調しています:

• ブラウザ拡張機能の危険性。

• アップデートを盲目的に信頼するリスク。

• 分析コードがどのように悪用される可能性があるか。

• なぜシードフレーズの取り扱いがウォレットセキュリティーで最も重要な瞬間なのか。

短期間の脆弱性でも深刻な結果をもたらす可能性があります。