Trust Wallet は、最新バージョンのChromeブラウザー拡張機能で悪意あるコードが発見され、ユーザーの資金が流出した事案について、正式な補償手続きの受付を開始した。これは、同社にとってこれまでで最も重要なセキュリティ対応の一つとなる。
ウォレット提供元は、影響を受けたユーザーが、公式ポータルを通じて請求を行えると説明しており、本人確認に必要な基本情報に加え、侵害されたウォレットアドレス、攻撃者アドレス、および窃盗に関連するトランザクションハッシュを提出する必要があるとしている。
Trust Walletは、検証されたすべての損失を補填すると述べ、各申請については、さらなるリスクを防ぐため詳細な審査を行うと強調した。
同社は、Bitcoin、Ether、Solana を含む複数のブロックチェーン上のユーザーから、合計約700万ドル相当のデジタル資産が抜き取られたことを確認した。
ブロックチェーンセキュリティ企業 PeckShield は、400万ドル以上が ChangeNOW、FixedFloat、KuCoin といった中央集権型取引所に送金済みで、一方で木曜日時点で約300万ドルが依然として攻撃者の管理するウォレット内に留まっていると報告した。
2018年にTrust Walletを買収した Binance 創業者の Changpeng Zhao は、損失はすべて補填されると述べた。「TrustWalletが補償する」と彼はX上で投稿し、ユーザーの資金は「SAFU(安全)」だと付け加えた。
Also Read: Why JPMorgan Is Cutting Off Stablecoin Neobanks In Latin America Despite Crypto-Friendly Messaging
侵害はどのように発生したか
この問題が表面化したのはクリスマス当日で、オンチェーンアナリストの ZachXBT が、ユーザーから「12月24日の拡張機能アップデート後に突然資金が抜き取られた」という報告が相次いでいると警告したことがきっかけだった。
Trust Walletは、12月25日にパッチ済みバージョンをリリースした。
CEO の Eowyn Chen によると、この攻撃は、Chrome Web Store のAPIキーが漏洩したことに端を発し、それにより同社の社内リリースパイプラインの外部で、悪意あるビルドの拡張機能が公開されてしまったという。
セキュリティ研究者である SlowMist は、問題のバージョンが、シードフレーズを盗み出すために改変されたアナリティクスライブラリを使用していたことを突き止めた。
Trust Walletによれば、12月26日午前11時(UTC)以前に侵害された拡張機能へアクセスしたユーザーは、潜在的な被害対象となる可能性がある。
影響範囲とユーザーへの影響
このインシデントの影響を受けたのは、Chrome拡張機能のバージョン2.68のみであり、モバイルアプリのユーザーや、他のビルドの拡張機能を利用しているユーザーには影響はなかった。
Trust Wallet の拡張機能は、Chrome Web Store の掲載情報によれば、およそ100万人のユーザーを抱えている。
Read Next: Bitcoin Breaks Downtrend, Rare Market Signals Hint At Multi-Week Rally