Trust Walletの拡張機能の更新後、ユーザーが損失を報告

• Trust Walletのブラウザ拡張機能バージョン2.68は、12月24日のアップデート後、サプライチェーンの侵害の疑いと関連付けられています。
• ユーザーは、シードフレーズのインポート後にウォレットから資金が流出したと報告しており、損失は600万ドル以上と推定されています。
• Trust Walletは問題を確認し、バージョン2.69へのアップデートを推奨しました。モバイルアプリは影響を受けていません。

Trust Walletのブラウザ拡張機能において、最近のアップデートに関連する不正アクセスとウォレット資金の流出の可能性に関する報告を受け、セキュリティ上の問題が浮上しました。これにより、ブロックチェーン研究者やセキュリティ重視の開発者から警告が発せられました。この事件は、拡張機能のバージョン2.68に注目を集め、後にTrust Walletによって確認されました。

問題は、ブロックチェーン調査員ZachXBTからの通知の後に発生しました。同氏は、ブラウザ拡張機能にシードフレーズをインポートした後、ウォレットの残高が減少したと主張する数百人のユーザーからメッセージを受け取ったと報告しました。

開発者が公開した技術レビューによると、12月24日にリリースされたブラウザ拡張機能のアップデートが、サプライチェーンの侵害の疑いを通じて悪意のあるコードの注入につながった可能性があります。

アップデートを調査している研究者たちは、新たに追加されたJavaScriptファイルが拡張機能に組み込まれ、分析機能として偽装されていたと主張しています。このファイルは、シードフレーズのインポート時にのみ起動され、ウォレットに関連する機密データをTrust Walletの公式インフラストラクチャに似せて設計された外部ドメインに送信したと報告されています。

サプライチェーン侵害の可能性を示す兆候

報告書で言及された外部ドメインは、事件のわずか数日前に登録され、その後オフラインになりました。アナリストは、ドメインの最近の作成とアップデートのタイミングを組み合わせることで、この事件が孤立したフィッシング試行やユーザーエラーではなく、協調的なサプライチェーン攻撃の結果である可能性があるという懸念を引き起こしたと指摘しました。

コミュニティの研究者が参照したオンチェーン分析は、侵害された資金が複数のアドレスを経由していることを示しました。彼らによると、このパターンは自動化された悪用手法と関連付けられることが多いとのことです。インターネット上で公開された公的推定では、損失が600万ドルを超える可能性があると示唆されていましたが、これらの数字は独立して確認されていません。

Trust Walletが範囲を確認し、修正を公開

その後、12月25日、Trust Walletはセキュリティインシデントがブラウザ拡張機能バージョン2.68に限定されていることを確認しました。声明の中で、同社はユーザーに対して直ちにこのバージョンを無効にし、修正が含まれているというバージョン2.69にアップデートすることを推奨しました。Trust Walletは、他のブラウザ拡張機能のバージョンやモバイルアプリは影響を受けていないと付け加えました。

同社はまた、カスタマーサポートが影響を受けたユーザーへの連絡を開始し、事件を調査していると述べました。技術的な原因や補償の可能性についての詳細は提供されませんでした。

関連: Trust Walletがデータ同期障害後に残高を回復、資金は安全