隠されたスクリプトが秘密鍵を盗む事例が発覚、Trust WalletがChromeユーザーに緊急警告

Trust Walletは、12月24日のアップデートに関連したウォレット資金流出の報告を受け、セキュリティインシデントを認めた上で、12月25日にバージョン2.69をリリースし、ユーザーにChromeブラウザ拡張機能バージョン2.68の無効化を呼びかけました。

被害者や研究者によると、2.68の配布後すぐに盗難が検知され始めました。初期の公開集計では、複数チェーンにまたがり被害総額が600万ドルから700万ドル以上に達したとされています。

Chromeウェブストアのリストでは、Trust Wallet拡張機能バージョン2.69の「更新日：2025年12月25日」と表示されており、この日がベンダーによるパッチのタイミングを示しています。

同リストでは約1,000,000人のユーザーがいると表示されており、これは最悪の場合の影響範囲の上限となります。

実際の影響度は、2.68をインストールし、その間に機密データを入力したユーザーの数に左右されます。

Trust Walletのガイダンスは、主にブラウザ拡張機能のリリースに焦点を合わせていました。公式発表によれば、モバイルユーザーや他バージョンの拡張機能は影響を受けていません。

これまでの報道は、2.68バージョン使用時の特定のユーザー操作に集中しています。

研究者がTrust Walletブラウザ拡張機能アップデートに関連するリスク上昇を指摘

研究者やインシデントトラッカーは、影響を受けたバージョンインストール後にシードフレーズをインポートまたは入力したユーザーが最も高いリスクにさらされていると指摘しました。シードフレーズは、そこから派生する現在および将来のアドレスをアンロックできます。

また、研究者が2.68バンドルをレビューした際、JavaScriptファイル内に「4482.js」とラベル付けされたファイルへの参照を含む不審なロジックを指摘したとも報じられています。

彼らによれば、そのロジックはウォレットの秘密情報を外部ホストへ送信する可能性があるとのことです。研究者はまた、技術的なインジケーターはまだ調査途中であると警告しました。

同じ報道では、コピーキャットによる「修正」ドメインなど、二次的な詐欺についても警告しています。これらはユーザーを騙してリカバリーフレーズを入力させようとするものです。

ユーザーにとって、アップグレードとリカバリー（修復）の違いは重要です。

2.69へのアップデートにより、今後拡張機能から疑わしい悪意ある挙動や安全でない挙動が排除されます。しかし、すでにシードフレーズや秘密鍵が流出している場合、資産は自動的に保護されません。

その場合、標準のインシデント対応として、新しいシードフレーズから作成した新しいアドレスへ資金を移動する必要があります。ユーザーはまた、可能な限りトークン承認の確認と取り消しも行うべきです。

シードフレーズを扱ったシステムは、再構築または安全性が確認されるまで疑わしいものとして扱う必要があります。

これらの対応は、一般ユーザーにとって運用上大きな負担となる場合があります。チェーンやアプリケーション間でポジションを再構築する必要があるためです。

場合によっては、ガス代やブリッジリスクがリカバリ経路に含まれる際、迅速性と正確性の間で選択を強いられることもあります。

今回の事例は、ブラウザ拡張機能の信頼モデルにも注目を集めています。

拡張機能はWebアプリと署名フローの間のデリケートな接点

いかなる侵害も、ユーザーが取引内容を検証するために使う入力情報を標的にし得ます。

Chromeウェブストアの拡張機能検出に関する学術研究では、悪意あるまたは侵害された拡張機能が自動審査を回避できること、また攻撃者の手法が変化するにつれて検出精度が低下しうることが説明されています。

arXivに掲載された悪意ある拡張機能の教師あり機械学習検出に関する論文によれば、「コンセプトドリフト」や行動の進化が静的手法の有効性を損なう可能性があります。ウォレット拡張機能のアップデートが難読化されたクライアントサイドロジックによって秘密情報収集を行った疑いがある場合、この問題はより具体的となります。

Trust Walletの今後の開示が、今後のストーリーの枠組みを定めることになるでしょう。

根本原因を文書化し、検証済みインジケーター（ドメイン、ハッシュ、バンドル識別子）を公開し、影響範囲を明確化するベンダーの事後分析は、ウォレットプロバイダー、取引所、セキュリティチームがターゲットを絞ったチェックやユーザー指示を作成するのに役立つでしょう。

それがなければ、インシデントの合計値は不安定なままとなりがちです。被害者の報告が遅れて届くこともあり、オンチェーンのクラスタリングが精緻化され、調査者が複数の資金流出者が同じインフラを共有しているのか、または模倣犯なのかをまだ解決中の場合もあります。

トークン市場はこのニュースに反応を見せましたが、一方向の再評価とはなりませんでした。

Trust Wallet Token（TWT）の最新の取引価格は$0.83487で、前回終値より$0.01（0.02%）上昇しました。日中高値は$0.8483、日中安値は$0.767355となりました。

損失の算出は依然として流動的です。現在最も信頼できる公的な指標は、2.68配布後48～72時間以内に報告された600万ドルから700万ドル以上の範囲です。

その範囲は、窃盗事件の調査における通常の理由で今後も変動する可能性あり

これには、被害者による報告の遅れ、アドレスの再分類、クロスチェーンのスワップや換金経路の可視性向上などが含まれます。

今後2～8週間の現実的な予想レンジは、測定可能な変動要因に基づくシナリオとして示すことができます。これには、侵害経路が2.68でのシード入力に限定されていたか、他の流出経路が確認されるか、コピーキャットの「修正」誘導がどれだけ早く削除されるかなどが含まれます。

このインシデントは、小売ユーザー向け暗号資産ソフトウェアが一般的なデバイス上で機密情報をどのように扱うかについての広範な監視の中で発生しました。

2025年の盗難報告は、政策やプラットフォームの関心を引くほど大規模なものとなっています。

ソフトウェア配布に関連するインシデントは、再現可能なビルド、スプリットキー署名、緊急修正が必要な場合の明確なロールバックオプションなど、ビルドの整合性管理を求める声を強化しています。

ウォレット拡張機能については、差し当たってユーザーが決断するべきことはシンプルです。2.68がインストールされていた間にシードフレーズを入力したかどうかが、アップグレードだけで十分か、秘密情報のローテーションと資金移動が必要かを決定します。

Trust Walletのガイダンスは、2.68拡張機能を無効化し、Chromeウェブストアから2.69へアップグレードすることを引き続き推奨しています。

2.68使用時にシードフレーズをインポートまたは入力したユーザーは、そのシードを侵害されたものとして扱い、新しいウォレットへ資産を移す必要があります。

Trust Walletは現在、v2.68 Chrome拡張機能インシデントで約700万ドルが影響を受けたこと、および全ユーザーに返金することを正式に認めています。

Xに投稿された声明で、同社は返金プロセスの最終段階にあり、「まもなく」今後の手順に関する案内を共有すると述べました。Trust Walletはまた、公式チャンネル以外から送信されるメッセージには絶対に反応しないようユーザーに呼びかけており、修復作業中に詐欺師がチームを装う可能性があると警告しています。

「Hidden script caught harvesting private keys as Trust Wallet issues emergency warning for Chrome users」の記事はCryptoSlateで最初に掲載されました。