Trust Walletがハッキング被害：暗号資産ユーザーが今すべきこと

Trust Walletは、製品スタックの一部のみが「セキュリティインシデント」の影響を受けたと発表しました。それはバージョン2.68のChromeブラウザ拡張機能です。モバイルのみのユーザーの場合、同社は影響を受けていないと述べています。他の拡張機能バージョンを使用している場合も、影響を受けていないとのことです。Trust Walletの表現によれば、この問題は範囲が限定されていますが、アドレスが空になっているのを見ると、そう感じられないかもしれません。

12月25日、オンチェーン調査員のZachXBTがTelegramで警告を投稿し、最初の公開警告が発せられました。「過去数時間以内に、多数のTrust Walletユーザーがウォレットアドレスから資金が流出したと報告しています。」

彼は「正確な根本原因は特定されていない」と強調し、その後、不安な偶然の一致を指摘しました。「Trust WalletのChrome拡張機能が昨日新しいアップデートをプッシュしました。」同じメッセージで、彼は被害者にXでDMするよう依頼し、「さらに確認しながら以下の盗難アドレスのリストを更新できるように」し、複数のチェーンにわたる盗難先とされるアドレスの公開を始めました。彼のリストには、複数のEVMアドレスとSolanaアドレスが含まれていました。

Trust Walletがハッキングを確認

ウォレット企業は後にX上でこのインシデントを確認しました。「Trust Walletブラウザ拡張機能バージョン2.68のみに影響するセキュリティインシデントを特定しました。ブラウザ拡張機能2.68をお使いのユーザーは、無効にして2.69にアップグレードしてください」と同社は書き、公式Chrome Web Storeのリストにユーザーをリンクしました。

さらに、「注意:モバイルのみのユーザーおよび他のすべてのブラウザ拡張機能バージョンは影響を受けていません」と付け加えました。投稿は、すべてのセキュリティチームが遅かれ早かれ入力することになる言葉で締めくくられました。「これがどれほど懸念されることか理解しており、私たちのチームは積極的に問題に取り組んでいます。できるだけ早く最新情報を共有し続けます。」

その後、ガイダンスはより緊急かつ具体的になりました。Trust Walletは2.69にアップデートしていないユーザーに警告しました。「アップデートするまでブラウザ拡張機能を開かないでください。これにより、ウォレットのセキュリティーを確保し、さらなる問題を防ぐことができます。」

フォローアップでは、ステップバイステップで詳しく説明しました。要約すると:拡張機能を開かない、Trust WalletのChrome拡張機能ページに移動する、まだオンになっている場合はオフに切り替える、開発者モードを有効にする、「更新」をクリックする、そして他のことをする前にバージョン2.69であることを確認する、となります。華やかではありませんが、インシデントモードにあるときに重要なのは実行可能であることです。

主張と反論が渦巻く中、サイバーセキュリティ企業PeckShieldは被害額の初期推定を発表しました。「Trust Walletのエクスプロイトにより、被害者から600万ドル以上の暗号資産が流出しました」とPeckShieldは書き、「盗まれた資金の約280万ドルはハッカーのウォレット(ビットコイン/EVM/Solana)に残っていますが、大部分である400万ドル以上の暗号資産はCEXsに送られました」と付け加え、「約330万ドルがChangeNOW、約34万ドルがFixed Float、約44万7000ドルがKucoin」という内訳を示しました。

もう一つの重要な問題が迅速に浮上しました:損害補償。ZachXBTは、「現在、多くの懸念している被害者がDMで連絡してきているので、Trust Walletブラウザ拡張機能ユーザーに対して何らかの補償を提供するかどうか、チームで明確にしていただけますか」と述べました。Trust Walletは公に直接回答しませんでした。代わりに、カスタマーサポートチームがすでに影響を受けたユーザーと次のステップについて連絡を取っており、サポートチャネルを通じて連絡するよう人々に指示したと返答しました。

では、ユーザーは今、平易に言うと何をすべきでしょうか?拡張機能バージョン2.68を使用している場合、Trust Walletの指示は、そのまま使用を停止することです:無効にして、再度開く前に2.69にアップグレードしてください。影響を受けたと思われる場合、同社はユーザーをサポートに案内していますが、独立調査員のZachXBTは盗難フローをマッピングするための報告を求めています。

UPDATE:BinanceファウンダーのChangpeng Zhaoは、Xを通じてユーザーがハッキングの補償を受けることを確認しました。「これまでのところ、このハッキングによって700万ドルが影響を受けました。Trust Walletがカバーします。ユーザー資金はSAFUです。ご不便をおかけしたことへのご理解に感謝します。チームは引き続き、ハッカーがどのようにして新しいバージョンを提出できたのかを調査しています」とZhaoは本日書きました。

本稿執筆時点で、暗号資産市場の時価総額は2兆9500億ドルでした。