人気のある暗号資産ウォレットであるTrust Walletは、Chromeブラウザ拡張機能がバージョン2.68.0に移行した直後、重大なセキュリティ危機に直面しました。SNSで共有されたユーザーの体験によると、新バージョンでシードフレーズを入力したウォレットが数分以内に完全に資金を失う事例が発生しています。初期分析によれば、この攻撃はBitcoin、Ethereum、BNBの残高を標的としており、数百万ドル規模の損失が発生した可能性があります。これらの出来事は、ブラウザ拡張機能型ウォレットのセキュリティについての議論を再燃させました。
window.lazyLoadOptions=Object.assign({},{threshold:300},window.lazyLoadOptions||{});!function(t,e){"object"==typeof exports&&"undefined"!=typeof module?module.exports=e():"function"==typeof define&&define.amd?define(e):(t="undefined"!=typeof globalThis?globalThis:t||self).LazyLoad=e()}(this,function(){"use strict";function e(){return(e=Object.assign||function(t){for(var e=1;e
window.litespeed_ui_events=window.litespeed_ui_events||["mouseover","click","keydown","wheel","touchmove","touchstart"];var urlCreator=window.URL||window.webkitURL;function litespeed_load_delayed_js_force(){console.log("[LiteSpeed] Start Load JS Delayed"),litespeed_ui_events.forEach(e=>{window.removeEventListener(e,litespeed_load_delayed_js_force,{passive:!0})}),document.querySelectorAll("iframe[data-litespeed-src]").forEach(e=>{e.setAttribute("src",e.getAttribute("data-litespeed-src"))}),"loading"==document.readyState?window.addEventListener("DOMContentLoaded",litespeed_load_delayed_js):litespeed_load_delayed_js()}litespeed_ui_events.forEach(e=>{window.addEventListener(e,litespeed_load_delayed_js_force,{passive:!0})});async function litespeed_load_delayed_js(){let t=[];for(var d in document.querySelectorAll('script[type="litespeed/javascript"]').forEach(e=>{t.push(e)}),t)await new Promise(e=>litespeed_load_one(t[d],e));document.dispatchEvent(new Event("DOMContentLiteSpeedLoaded")),window.dispatchEvent(new Event("DOMContentLiteSpeedLoaded"))}function litespeed_load_one(t,e){console.log("[LiteSpeed] Load ",t);var d=document.createElement("script");d.addEventListener("load",e),d.addEventListener("error",e),t.getAttributeNames().forEach(e=>{"type"!=e&&d.setAttribute("data-src"==e?"src":e,t.getAttribute(e))});let a=!(d.type="text/javascript");!d.src&&t.textContent&&(d.src=litespeed_inline2src(t.textContent),a=!0),t.after(d),t.remove(),a&&e()}function litespeed_inline2src(t){try{var d=urlCreator.createObjectURL(new Blob([t.replace(/^(?: )?$/gm,"$1")],{type:"text/javascript"}))}catch(e){d="data:text/javascript;base64,"+btoa(t.replace(/^(?: )?$/gm,"$1"))}return d} var litespeed_vary=document.cookie.replace(/(?:(?:^|.*;\s*)_lscache_vary\s*\=\s*([^;]*).*$)|^.*$/,"");litespeed_vary||fetch("/wp-content/plugins/litespeed-cache/guest.vary.php",{method:"POST",cache:"no-cache",redirect:"follow"}).then(e=>e.json()).then(e=>{console.log(e),e.hasOwnProperty("reload")&&"yes"==e.reload&&(sessionStorage.setItem("litespeed_docref",document.referrer),window.location.reload(!0))});
異常なブロックチェーン送金の検出
この事件の後、ブロックチェーン研究者のZachXBTは、Blockchain内の活動を追跡することで知られており、短時間のうちに多くのTrust Walletアドレスから異常な送金が行われていることを特定しました。共有されたデータによると、アップデート後に連続してトランザクションが発生し、残高が数秒以内に異なるアドレスへ送金されていました。
興味深いことに、資金は少しずつではなく、一度に積極的に移動されていました。Bitcoin、Ethereum、BNBの資産はそれぞれのケースで素早く引き出され、その後複数の中継アドレスに分散されました。ブロックチェーン取引内で繰り返し見られたリダイレクトパターンは、組織的な攻撃の可能性を強めています。
損失が4.3百万ドルを超えるとの主張
現在のブロックチェーンデータでは、少なくとも4.3百万ドル相当の暗号資産が疑わしいアドレスと関連付けられています。しかし、この数字は公開されているデータと報告されたウォレットのみに基づいており、実際の損失額はさらに大きい可能性があります。ZachXBTは、資金が集約された主要なアドレスを共有し、これらのアドレスが多くの侵害されたウォレットから資産を引き出し、同様の取引パターンを示していることを強調しました。
これらの事態を受けて、Trust Walletチームは2025年12月26日にXを通じて公式声明を発表し、この問題はTrust Wallet Browser Extension 2.68バージョンのみに影響するセキュリティ脆弱性に起因していることを強調しました。ユーザーには直ちに拡張機能を無効化し、バージョン2.69へのアップグレードを推奨しました。チームは事態の重大さを認識しており、現在も積極的な調査が進行中であると保証しました。
