一見普通のChrome拡張機能のアップデートが、暗号資産大規模窃盗事件の始まりとなった。12月24日、Trust WalletはChromeウェブストアに拡張機能のアップデート(バージョン番号2.68)をプッシュした。12月25日のクリスマス当日、最初の被害者たちは目覚めるとウォレットの資金が無許可で送金されていることに気づいた。ブロックチェーン探偵のZachXBTは迅速に調査に介入し、Telegramグループで緊急警報を発した。調査が進むにつれ、事件の全貌が次第に明らかになった:影響を受けたのはブラウザ拡張機能のバージョン2.68のみであり、モバイル版やその他のバージョンは影響を受けていない。## 01 事件概要:クリスマスのセキュリティ事件と多方面の反応2025年12月25日、喜びに満ちたはずのクリスマスが、数百人のTrust Walletユーザーにとって悪夢となった。ブロックチェーン探偵のZachXBTは警報を発し、Trust Walletプラットフォームの数百人のユーザーが資金を盗まれ、損失額は**少なくとも600万ドル**に達していると指摘した。Trust Walletはバイナンス傘下の暗号通貨ウォレットで、数千万のユーザーを持つとされる。業界をリードするノンカストディアルウォレットとして、イーサリアムやバイナンススマートチェーンなどの主要なブロックチェーンをサポートし、多くのDeFiプラットフォームと緊密に連携している。事件後、Trust Wallet公式はセキュリティ警報を発表し、ブラウザ拡張機能のバージョン2.68にセキュリティホールが存在することを確認、緊急でバージョン2.69の修正版をリリースした。バイナンス創始者のCZもSNS上で反応し、今回の脆弱性事件により**合計約700万ドル**の損失が出たと述べ、影響を受けたユーザーには全額補償を行うと表明した。資金は「SAFU」(セーフティ資産基金)に入っている。## 02 攻撃のタイムライン:綿密に計画されたクリスマスの襲撃このセキュリティ事件のタイムラインは、攻撃者の綿密な計画を示している。12月24日のクリスマスイブ、Trust WalletはChromeウェブストアに拡張機能のアップデートをプッシュし、多くのユーザーは祭典の雰囲気の中で自動または手動で更新を完了した。わずか数時間後の12月25日クリスマスの早朝、米国東部時間の深夜から午前にかけて、最初の被害者たちが資金の異常な送金に気づき始めた。ZachXBTは複数の報告を受けて、現地時間正午にTelegramで公開警報を出した。資金の移動は**30時間以上にわたって続き**、最初の報告からかなり長い期間にわたる。資産が次々と盗まれる中、Trust Wallet公式は依然として祝福やマーケティングの内容を発信し続けており、この明らかな対比にコミュニティから強い不満が噴出した。事件から30時間以上経った12月26日になって、Trust Walletの代表者がブラウザ拡張の脆弱性について公式警告を出した。この対応は広く批判され、ユーザーの不安をさらに煽る結果となった。## 03 技術分析:ブラウザ拡張の致命的な脆弱性セキュリティ専門家の分析によると、今回の攻撃は二つの経路で実現された可能性がある。一つはアップデートの過程で意図的に悪意のあるコードが埋め込まれたケース、もう一つは無意識のうちに利用可能な脆弱性が導入されたケースだ。Chrome拡張機能の高い権限特性により、攻撃者にとって理想的なターゲットとなる。これらの拡張は、ユーザーがアクセスしたすべてのウェブページの内容を読み取り、変更できるほか、ネットワークリクエストを傍受し、任意のスクリプトを注入し、ローカルストレージにアクセスも可能だ。慢雾(サンウー)CISOはさらに、今回のセキュリティ事件は**「開発者の端末やコードリポジトリが攻撃者に制御された可能性がある」**と指摘している。現時点でもユーザーの資産が盗まれ続けている。この分析は、サプライチェーン攻撃の脅威を強調している。攻撃者はウォレットアプリ自体に直接侵入する必要はなく、その依存関係の上流部分を制御するだけで済む。セキュリティ研究によると、ブラウザウォレットには三つのシステムリスクが存在する。自動アップデートの仕組みは、ユーザーがコードの変更を確認できずに新バージョンを受け入れることを強いる。権限の乱用は、正規の拡張に悪意のあるコードを追加させる可能性を高める。依存チェーンの脆弱性は、すべての下流アプリケーションに影響を及ぼし、ユーザーは気付かないまま被害に遭う。## 04 資金の流れ追跡:ハッカーのマネーロンダリング経路PeckShieldの監視データによると、Trust Walletの脆弱性を悪用した事件では、ハッカーは被害者から**600万ドル超の暗号資産**を盗み出した。これらの資金は迅速に自動的に攻撃者の管理するウォレットへと移動された。資金の流れの追跡は、システム的なマネーロンダリングの過程を明らかにしている。| 資金状況 | 金額 (ドル換算) | 主な流出先または説明 || --- | --- | --- || ハッカーのウォレットに残る | 280万 | Bitcoin、EVM、Solanaネットワークに分散 || 中央取引所に送金済み | 400万超 | ChangeNOW、FixedFloat、KuCoinなどへ流出 |詳細を見ると、**約330万ドルがChangeNOWに送金**され、約34万ドルがFixedFloatに、約44.7万ドルがKuCoinに送金された。このような高速分散移動のパターンは、拡張機能やフロントエンドの損傷に伴う典型例であり、追跡の難易度を高めている。オンチェーン分析では、新たに作成されたEVMウォレットが、0.何ETHから7ETHまでの取引を受けており、そのうちの一つのアドレスは未だに255ETH超を保持しており、価値は約75万ドルにのぼる。ビットコインネットワーク上では、たった一つのアドレスが66回の取引で12BTC超を獲得し、価値は100万ドル超に達しているほか、他のウォレットも合計で1.5BTCを受け取っている。## 05 市場への影響とトークンの動きTrust Walletの事件は、直接被害を受けたユーザーだけでなく、暗号資産市場全体に衝撃を与えた。ウォレットエコシステムのネイティブトークンであるTrust Walletのトークン(TWT)は、価格に圧力がかかる可能性がある。セキュリティ調査会社の慢雾の創始者である余烬はさらに、攻撃者はTrust Walletの拡張ソースコードに詳しく、PostHog JSを埋め込んでユーザーのウォレット情報を収集していた可能性を指摘している。気がかりなのは、**Trust Walletの修正版にはPostHog JSスクリプトが削除されていない点だ**。過去の事例から、類似のセキュリティ事件は、関連トークンの価格が24時間以内に10%から20%下落し、取引量が急増しパニック売りが起きる傾向がある。この事件は、投資家がビットコインやイーサリアムなどのより安全な資産に資金を移す動きも促す可能性がある。12月26日時点で、Gateのデータによると、市場全体は慎重な姿勢を示し、投資家のウォレットの安全性に対する関心が著しく高まっている。CZは全額補償を約束したものの、市場の信頼回復には時間を要する。## 06 ユーザーの対応ガイドと安全対策影響を受ける可能性のあるTrust Walletユーザーは、直ちに以下の措置を取るべきだ。**第一段階:確認と隔離。** 最近48時間の取引履歴を確認し、無許可のトークン送金やコントラクトとのインタラクション、署名の承認を特に注意して調べる。疑わしい取引を発見したら、**すぐにTrust WalletのChrome拡張機能を停止**し、chrome://extensionsから無効化または削除する。**第二段階:資産の救済。** Revoke.cashやEtherscanのToken Approvals機能を使い、すべてのDeFiの承認を取り消す。新しいウォレットを作成し、新たに生成したニーモニックを使う。旧ウォレットの復元は避け、残存資産を新しいウォレットに移す。監視されている可能性のある端末は使用しない。**第三段階:報告と権利保護。** ZachXBTは被害者に対し、法執行機関に連絡し詳細な取引記録を提供するよう勧めている。暗号盗難事件の解決率は高くないが、正式な記録を作ることは今後の集団訴訟や保険請求にとって重要だ。未影響のTrust Walletユーザーは、**Chrome拡張機能の使用を一時停止**し、モバイルアプリやハードウェアウォレットに切り替えること、不要なDeFiコントラクトの承認を取り消すこと、新しい取引や承認を署名する前に状況を確認すること、定期的にニーモニックをバックアップし、オフラインで保管することを推奨する。Trust Wallet公式もサポートセンターを通じて補償手順を案内しており、被害者はそこから補償申請を登録できる。ZachXBTは、Trust Walletに責任があると確認された場合、同プラットフォームは被害者に対して補償を行う可能性があると述べている。## 今後の展望盗まれた資金のうち、400万ドル超がChangeNOW、FixedFloat、KuCoinなどの取引所に流入しており、このクリスマス襲撃の余波は暗号資産界に今なお続いている。セキュリティ会社PeckShieldの監視データによると、依然として約280万ドルの資金がハッカーのウォレットに残っている。安全の専門家である余烬は、修正バージョンにも疑わしいスクリプトが残っていることを指摘し、継続的な警鐘を鳴らしている。セキュリティはこのデジタル資産の世界では一度きりのイベントではなく、終わりのないマラソンだ。Trust Walletの沈黙とその後の対応は、業界がセキュリティ危機にどう対処するかの指標となるだろう。そして、すべての暗号資産保有者にとって、この事件は重くも明確な警鐘だ——真の安全は、常に自分の手の中にある。
Trust Walletがクリスマスに強盗に遭いました:ハッカーがスケーリングの脆弱性を悪用し、600万ドル以上を盗み出しました
一見普通のChrome拡張機能のアップデートが、暗号資産大規模窃盗事件の始まりとなった。12月24日、Trust WalletはChromeウェブストアに拡張機能のアップデート(バージョン番号2.68)をプッシュした。
12月25日のクリスマス当日、最初の被害者たちは目覚めるとウォレットの資金が無許可で送金されていることに気づいた。ブロックチェーン探偵のZachXBTは迅速に調査に介入し、Telegramグループで緊急警報を発した。
調査が進むにつれ、事件の全貌が次第に明らかになった:影響を受けたのはブラウザ拡張機能のバージョン2.68のみであり、モバイル版やその他のバージョンは影響を受けていない。
01 事件概要:クリスマスのセキュリティ事件と多方面の反応
2025年12月25日、喜びに満ちたはずのクリスマスが、数百人のTrust Walletユーザーにとって悪夢となった。ブロックチェーン探偵のZachXBTは警報を発し、Trust Walletプラットフォームの数百人のユーザーが資金を盗まれ、損失額は少なくとも600万ドルに達していると指摘した。
Trust Walletはバイナンス傘下の暗号通貨ウォレットで、数千万のユーザーを持つとされる。業界をリードするノンカストディアルウォレットとして、イーサリアムやバイナンススマートチェーンなどの主要なブロックチェーンをサポートし、多くのDeFiプラットフォームと緊密に連携している。
事件後、Trust Wallet公式はセキュリティ警報を発表し、ブラウザ拡張機能のバージョン2.68にセキュリティホールが存在することを確認、緊急でバージョン2.69の修正版をリリースした。
バイナンス創始者のCZもSNS上で反応し、今回の脆弱性事件により合計約700万ドルの損失が出たと述べ、影響を受けたユーザーには全額補償を行うと表明した。資金は「SAFU」(セーフティ資産基金)に入っている。
02 攻撃のタイムライン:綿密に計画されたクリスマスの襲撃
このセキュリティ事件のタイムラインは、攻撃者の綿密な計画を示している。12月24日のクリスマスイブ、Trust WalletはChromeウェブストアに拡張機能のアップデートをプッシュし、多くのユーザーは祭典の雰囲気の中で自動または手動で更新を完了した。
わずか数時間後の12月25日クリスマスの早朝、米国東部時間の深夜から午前にかけて、最初の被害者たちが資金の異常な送金に気づき始めた。ZachXBTは複数の報告を受けて、現地時間正午にTelegramで公開警報を出した。
資金の移動は30時間以上にわたって続き、最初の報告からかなり長い期間にわたる。資産が次々と盗まれる中、Trust Wallet公式は依然として祝福やマーケティングの内容を発信し続けており、この明らかな対比にコミュニティから強い不満が噴出した。
事件から30時間以上経った12月26日になって、Trust Walletの代表者がブラウザ拡張の脆弱性について公式警告を出した。この対応は広く批判され、ユーザーの不安をさらに煽る結果となった。
03 技術分析:ブラウザ拡張の致命的な脆弱性
セキュリティ専門家の分析によると、今回の攻撃は二つの経路で実現された可能性がある。一つはアップデートの過程で意図的に悪意のあるコードが埋め込まれたケース、もう一つは無意識のうちに利用可能な脆弱性が導入されたケースだ。
Chrome拡張機能の高い権限特性により、攻撃者にとって理想的なターゲットとなる。これらの拡張は、ユーザーがアクセスしたすべてのウェブページの内容を読み取り、変更できるほか、ネットワークリクエストを傍受し、任意のスクリプトを注入し、ローカルストレージにアクセスも可能だ。
慢雾(サンウー)CISOはさらに、今回のセキュリティ事件は**「開発者の端末やコードリポジトリが攻撃者に制御された可能性がある」**と指摘している。現時点でもユーザーの資産が盗まれ続けている。この分析は、サプライチェーン攻撃の脅威を強調している。攻撃者はウォレットアプリ自体に直接侵入する必要はなく、その依存関係の上流部分を制御するだけで済む。
セキュリティ研究によると、ブラウザウォレットには三つのシステムリスクが存在する。自動アップデートの仕組みは、ユーザーがコードの変更を確認できずに新バージョンを受け入れることを強いる。権限の乱用は、正規の拡張に悪意のあるコードを追加させる可能性を高める。依存チェーンの脆弱性は、すべての下流アプリケーションに影響を及ぼし、ユーザーは気付かないまま被害に遭う。
04 資金の流れ追跡:ハッカーのマネーロンダリング経路
PeckShieldの監視データによると、Trust Walletの脆弱性を悪用した事件では、ハッカーは被害者から600万ドル超の暗号資産を盗み出した。これらの資金は迅速に自動的に攻撃者の管理するウォレットへと移動された。
資金の流れの追跡は、システム的なマネーロンダリングの過程を明らかにしている。
詳細を見ると、約330万ドルがChangeNOWに送金され、約34万ドルがFixedFloatに、約44.7万ドルがKuCoinに送金された。このような高速分散移動のパターンは、拡張機能やフロントエンドの損傷に伴う典型例であり、追跡の難易度を高めている。
オンチェーン分析では、新たに作成されたEVMウォレットが、0.何ETHから7ETHまでの取引を受けており、そのうちの一つのアドレスは未だに255ETH超を保持しており、価値は約75万ドルにのぼる。
ビットコインネットワーク上では、たった一つのアドレスが66回の取引で12BTC超を獲得し、価値は100万ドル超に達しているほか、他のウォレットも合計で1.5BTCを受け取っている。
05 市場への影響とトークンの動き
Trust Walletの事件は、直接被害を受けたユーザーだけでなく、暗号資産市場全体に衝撃を与えた。ウォレットエコシステムのネイティブトークンであるTrust Walletのトークン(TWT)は、価格に圧力がかかる可能性がある。
セキュリティ調査会社の慢雾の創始者である余烬はさらに、攻撃者はTrust Walletの拡張ソースコードに詳しく、PostHog JSを埋め込んでユーザーのウォレット情報を収集していた可能性を指摘している。気がかりなのは、Trust Walletの修正版にはPostHog JSスクリプトが削除されていない点だ。
過去の事例から、類似のセキュリティ事件は、関連トークンの価格が24時間以内に10%から20%下落し、取引量が急増しパニック売りが起きる傾向がある。この事件は、投資家がビットコインやイーサリアムなどのより安全な資産に資金を移す動きも促す可能性がある。
12月26日時点で、Gateのデータによると、市場全体は慎重な姿勢を示し、投資家のウォレットの安全性に対する関心が著しく高まっている。CZは全額補償を約束したものの、市場の信頼回復には時間を要する。
06 ユーザーの対応ガイドと安全対策
影響を受ける可能性のあるTrust Walletユーザーは、直ちに以下の措置を取るべきだ。
第一段階:確認と隔離。 最近48時間の取引履歴を確認し、無許可のトークン送金やコントラクトとのインタラクション、署名の承認を特に注意して調べる。疑わしい取引を発見したら、すぐにTrust WalletのChrome拡張機能を停止し、chrome://extensionsから無効化または削除する。
第二段階:資産の救済。 Revoke.cashやEtherscanのToken Approvals機能を使い、すべてのDeFiの承認を取り消す。新しいウォレットを作成し、新たに生成したニーモニックを使う。旧ウォレットの復元は避け、残存資産を新しいウォレットに移す。監視されている可能性のある端末は使用しない。
第三段階:報告と権利保護。 ZachXBTは被害者に対し、法執行機関に連絡し詳細な取引記録を提供するよう勧めている。暗号盗難事件の解決率は高くないが、正式な記録を作ることは今後の集団訴訟や保険請求にとって重要だ。
未影響のTrust Walletユーザーは、Chrome拡張機能の使用を一時停止し、モバイルアプリやハードウェアウォレットに切り替えること、不要なDeFiコントラクトの承認を取り消すこと、新しい取引や承認を署名する前に状況を確認すること、定期的にニーモニックをバックアップし、オフラインで保管することを推奨する。
Trust Wallet公式もサポートセンターを通じて補償手順を案内しており、被害者はそこから補償申請を登録できる。ZachXBTは、Trust Walletに責任があると確認された場合、同プラットフォームは被害者に対して補償を行う可能性があると述べている。
今後の展望
盗まれた資金のうち、400万ドル超がChangeNOW、FixedFloat、KuCoinなどの取引所に流入しており、このクリスマス襲撃の余波は暗号資産界に今なお続いている。セキュリティ会社PeckShieldの監視データによると、依然として約280万ドルの資金がハッカーのウォレットに残っている。
安全の専門家である余烬は、修正バージョンにも疑わしいスクリプトが残っていることを指摘し、継続的な警鐘を鳴らしている。セキュリティはこのデジタル資産の世界では一度きりのイベントではなく、終わりのないマラソンだ。
Trust Walletの沈黙とその後の対応は、業界がセキュリティ危機にどう対処するかの指標となるだろう。そして、すべての暗号資産保有者にとって、この事件は重くも明確な警鐘だ——真の安全は、常に自分の手の中にある。