Trust Wallet は、約700万ドル相当の暗号資産が、侵害されたブラウザー拡張機能のアップデートを通じて盗まれたと確認した。
この侵害は、12月24日にリリースされたChrome拡張機能のバージョン2.68のみに影響した。
なお、同社によるとモバイルウォレットのユーザーには影響はなかった。
Trust Wallet を所有する Binance の創業者 Changpeng Zhao は、ウォレット側が影響を受けたすべてのユーザーに補償すると述べた。
「これまでのところ、このハッキングで影響を受けたのは700万ドル。Trust Wallet が補償します。ユーザー資金は SAFU です」と、Zhao はXに投稿した。
何が起きたのか
ブロックチェーン調査員の ZachXBT は、Trust Wallet ユーザーから急速な資金流出の報告を受け、12月25日にこのインシデントを最初に察知した。
損失は拡張機能アップデートから数時間以内に発生しており、サプライチェーン攻撃による侵害が示唆されている。
セキュリティ企業 SlowMist が悪意あるコードを分析したところ、サードパーティライブラリの侵害ではなく、Trust Wallet のソースコードそのものに直接注入されていたことが判明した。
このバックドアコードは、ウォレットがアンロックされた際にユーザーの暗号化されたシードフレーズを収集し、そのデータを12月8日に登録された攻撃者管理のドメインに送信していた。
SlowMist の分析によれば、攻撃者は悪意あるアップデートが展開される少なくとも2週間前から準備を進めていたとみられる。
盗まれた資産には、ビットコイン、イーサリアムのほか、複数のブロックチェーンネットワーク上の資産が含まれていた。
一部の個人ユーザーは、ウォレットにアクセスしてから数分で30万ドルを超える損失が出たと報告している。
Trust Wallet はただちに、ユーザーに対しバージョン2.68を無効化し、公式のChromeウェブストアから修正版の2.69へアップグレードするよう強く呼びかけた。
Read also: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
なぜ重要なのか
このインシデントは、業界が保護強化に取り組んでいるにもかかわらず、ブラウザーベースの暗号資産ウォレットに依然として深刻なセキュリティ上の脆弱性が存在することを浮き彫りにした。
個々のユーザーをフィッシングで狙うケースとは異なり、今回は Trust Wallet の公式配布チャネルが侵害されており、適切なセキュリティ手順に従っていたユーザーにも影響が及んだ。
暗号資産インフラを標的としたサプライチェーン攻撃は、2024年に急増している。
ブロックチェーンセキュリティ企業 Chainalysis は、暗号資産の盗難額が12月初旬までに34億1,000万ドルを超え、2023年通年の33億8,000万ドルを上回ったと報告している。
今回の Trust Wallet の侵害は、同ウォレットのブラウザー拡張機能に関する2度目の大きなセキュリティ問題となる。
2023年には、ハードウェアウォレットメーカー Ledger のセキュリティチームが、Trust Wallet のChrome拡張機能において、セキュリティを256ビットからわずか32ビットのエントロピーにまで低下させる重大な脆弱性を発見していた。
Ledger の最高技術責任者 Charles Guillemet は、この2023年の欠陥により、攻撃者がユーザーの操作なしにウォレットを空にできた可能性があったと述べている。
この脆弱性は、大規模な悪用が発生する前に特定され、修正された。
今回の最新のインシデントは、秘密鍵をオフラインで保管するハードウェアウォレットが、多額の暗号資産を保有するうえで依然として最も安全な選択肢であることを改めて示している。
ブラウザー拡張機能は、システムに対する広範な権限を必要とし、拡張機能のコードとユーザーのコンピューター双方のセキュリティに依存するため、多数の潜在的な攻撃経路が生じる。
Read also: SHIB Price Defies 5,000% Long-Biased Liquidation Wave