12月24日、Trust Wallet accounts からユーザー資金が消失し始め、複数のブロックチェーンネットワークで損失は600万ドルを超えた。ウォレット提供元は、ブラウザー拡張機能の脆弱性を認めるまで30時間以上沈黙を続けた。
何が起きたのか:拡張機能の侵害
ユーザーからの苦情は12月24日に初めて surfaceds し、Trust Walletのブラウザー拡張機能にシードフレーズを入力した後にウォレットが完全に空になったと報告された。
この脆弱性は、Ethereum Virtual Machineネットワーク、Bitcoin (https://yellow.com/asset/btc) および Solana (https://yellow.com/asset/sol) の各ブロックチェーン上のアカウントに影響した。
暗号資産調査者の ZachXBT は、盗まれた資金を複数のアドレスへと追跡した。新たに作成されたEVMウォレットの1つは、ETHの端数から7 ETH (https://yellow.com/asset/eth) に至るまでの取引を集約しており、単一のアドレスには今も255ETH超、約75万ドル相当が残っている。
ビットコインネットワーク上の窃盗額は、ある1つのアドレス宛ての66件のトランザクションで12BTC超となり、100万ドル以上に達したほか、別のウォレットにも1.5BTCが送金された。
確認された損失総額は600万ドルを超えている。資金移転は初期報告から30時間以上が経過した12月25日深夜まで続いた。
Also Read: Bitcoin Slips Below $87,000 As Record Stablecoin Supply Signals Sidelined Capital
なぜ重要か:長時間の沈黙
Trust Walletの担当者は、12月26日までブラウザー拡張機能の脆弱性に関する公的な警告を一切出さなかった。同社はユーザー口座がリアルタイムで侵害されている最中にも、500ドル懸賞キャンペーンやホリデーの挨拶といったプロモーション投稿を行っていた。
セキュリティ専門家は、2つの可能性を指摘している。アップデート時に悪意あるコードが意図的に挿入されたか、あるいは悪用可能な脆弱性が誤って導入されたかである。プラットフォーム側はその後、ブラウザー拡張機能の不具合は解消されたと説明しているが、資金移転は12月25日まで継続していた。
公式な説明と包括的なセキュリティ監査の結果が出るまで、ユーザーにはブラウザー拡張機能の利用を控えるよう勧告されている。
Read Next: Crypto Liquidations Surpass $150 Billion in 2025, CoinGlass Reports