Trust Walletの賠償手続きを開始し、ユーザーのウォレットの700万ドルの全損失を負担

Trust Wallet は Chrome 拡張機能 v2.68 版のセキュリティインシデント被害者への補償手続きについて、今回のハッキング攻撃により数百のウォレットが約700万ドル相当のデジタル資産を失った事案に対応します。バイナンス創設者のCZは、影響を受けたすべてのユーザーの損失を全額負担すると確認し、被害者は公式ポータルサイトから賠償請求を提出できます。

Trust Wallet APIキー流出によるサプライチェーン攻撃

Trust WalletのCEO Eowyn Chenは、事後調査の中で攻撃の核心手法を明らかにしました。攻撃者はTrust WalletのChromeウェブストアAPIキーを取得し、この重要な証明書は本来内部チームのみがアップデート配信に使用していたものです。攻撃者はこの「万能鍵」を利用し、UTC時間の12月24日午後12:32にTrust Walletの標準内部リリース手順を回避し、改ざんされたv2.68バージョンをChromeストアに直接プッシュしました。

この種の攻撃手法はサプライチェーン攻撃と呼ばれ、攻撃者は直接ユーザーを攻撃せず、ソフトウェア供給元の配信経路に侵入し、悪意のあるコードを公式アップデートに偽装して全ユーザーに配信します。公式ストアからの署名済み証明書であるため、ユーザーやブラウザはその悪意性を認識できません。Trust Walletは約100万のChrome拡張ユーザーを抱え、この攻撃の潜在的影響範囲は非常に広いです。

セキュリティ企業SlowMistの技術分析によると、悪意のあるコードは改ざんされたオープンソース解析ライブラリを利用しています。攻撃者は入念に設計したコードを用いて、ユーザーが拡張機能にログインした際に静かにウォレットのニーモニック（助記詞）を抽出し、攻撃者のコントロールするサーバーに送信します。ニーモニックは暗号通貨ウォレットの最高権限証明書であり、一度漏洩すると攻撃者は被害者の資産を完全に掌握可能です。Chenは、「12月26日午前11時（UTC）以前にこの拡張機能にログインしたユーザーは既に影響を受けている可能性がある」と述べています。

Trust Walletはクリスマス当日に、チェーン上調査員のZachXBTがTelegram上で警告を発した後、直ちに緊急対応を開始しました。チームは12月25日にv2.69をリリースし、脆弱性を修正、悪意のあるバージョンをChromeストアから削除しました。ただし、悪意のあるバージョンにログインしたユーザーのニーモニックは既に漏洩している可能性があり、その後のアップデートでは損失を取り戻せません。

700万ドルの盗難資金の流れ追跡

ブロックチェーンセキュリティ企業PeckShieldは、オンチェーン分析を通じて盗まれた資金の流れを追跡しました。約700万ドルのデジタル資産は、ビットコイン、イーサリアム、Solanaなど複数のメインチェーン上で盗まれ、攻撃者は迅速に換金を行っています。400万ドル超の盗難資金はChangeNOW、FixedFloat、KuCoinなどの中央集権型取引所を経由して移動済みです。木曜日時点で、約280万ドルは攻撃者のウォレットに残っています。

この資金の流れパターンは、攻撃者が高度なマネーロンダリング能力を持つことを示しています。ChangeNOWやFixedFloatはKYC不要の即時取引所であり、資金の出所を隠すためによく利用されます。資金の一部をKuCoinなどの大手取引所に移すことは、更なる分散や換金のためと考えられます。オンチェーン追跡は透明性がありますが、資金が中央取引所やミキサーに入ると追跡と回収は格段に難しくなります。

また、攻撃の時間がクリスマス前夜に設定された点も注目されます。祝日中は企業のセキュリティチームの人員が減少し、対応速度が遅くなるため、攻撃者にとって資産移動の猶予期間となります。Trust Walletはわずか24時間で修正バージョンをリリースしましたが、攻撃者はすでに最初の資金移動を完了していた可能性があります。

現時点では、Trust WalletのChrome拡張機能のみが影響を受けており、モバイルアプリ（iOSとAndroid）や他のブラウザ版（Firefox、Edgeなど）のユーザーには今回の事件は及んでいません。これは、各プラットフォームが独立した配信経路とAPIキーを使用しているためであり、攻撃者はChromeストアの配信権限のみを取得しています。

公式賠償手続きと詐欺警告

Trust Walletは公式ポータルサイトに正式な賠償申請フォームを設置し、影響を受けたユーザーは以下の情報を提供して請求を完了させる必要があります。

賠償申請に必要な情報

· 基本的な本人確認情報：メールアドレスと居住国/地域、本人確認と今後の連絡用

· 被害ウォレット証明：盗難ウォレットアドレスと攻撃者の受取アドレス、完全なオンチェーンアドレス形式の提供

· 取引証拠：関連する取引ハッシュ値（Transaction Hash）、資金盗難のオンチェーン証拠として

Trust Walletチームは、「私たちは日夜努力し、最終的に賠償手続きの詳細を確定させるために取り組んでいます。各ケースは慎重に確認され、正確性と安全性を確保します」と述べています。この審査メカニズムは虚偽の請求を防ぐ目的ですが、賠償の支払いには一定の時間を要します。CZはX上で、「Trust Walletは全損失を負担する」と明言し、ユーザー資金は「安全無事」と強調しています。バイナンスは2018年にTrust Walletを買収しており、今回の約束は親会社のブランド信頼性維持への決意を示しています。

Trust Walletは、事件後に出現した偽の賠償フォームや身分詐称詐欺に注意喚起しています。ハッカーや詐欺師は、セキュリティインシデントを利用して二次被害を狙い、公式を装ったフォームを通じて個人情報や助記詞を盗もうとします。ユーザーは、Trust Walletの公式ウェブサイトや認証済みの公式コミュニティチャネルのみを通じて賠償請求を行い、不明なリンクをクリックしたり、誰かに助記詞を漏らしたりしないよう注意してください。

この事件は、中央集権的な配信経路のシステムリスクを浮き彫りにしています。非中央集権型のウォレットであっても、ソフトウェアのアップデートはGoogleやAppleなどの中央プラットフォームに依存しています。APIキーの管理不備は、全ユーザーをリスクにさらす可能性があります。Trust Walletは、キーの保存方法を見直し、HSM（ハードウェアセキュリティモジュール）やマルチシグ認証などのより高いセキュリティ対策を採用すべきです。ユーザー側も、定期的なニーモニックのバックアップやハードウェアウォレットの利用、大規模資産の安全な保管、公式のセキュリティアナウンスの注視など、リスク低減のための対策が重要です。