Trust Walletが$8.5百万のハッキングの詳細を明らかに - ForkLog: 暗号通貨、AI、シンギュラリティ、未来

# Trust Walletが$8.5百万のハッキングの詳細を公開

Trust Walletチームは、12月26日に発生したインシデントについての報告を公開しました。悪意のある攻撃者はブラウザ拡張機能を侵害し、資産を$8.5百万相当引き出しました。

声明によると、攻撃は2520のアドレスに影響を与えました。開発者は被害者の損失を全額補償することを約束しています。

どうやって起こったのか

ハッキングの原因は、11月に記録されたSha1-Huludのサプライチェーン攻撃の大規模なものでした。その際、ハッカーはGitHubの開発者の秘密情報とChrome Web StoreのAPIキーにアクセスしました。

盗まれた情報を使い、攻撃者は以下のことを行いました：

1. Trust Walletの内部検査を通過し、Chrome Web Storeに悪意のあるバージョンの拡張機能(2.68)をアップロード。
2. 機密情報(シードフレーズと秘密鍵)を収集するためのドメインmetrics-trustwallet.comを登録。
3. Googleの審査を通過した後、自動的にアップデートをユーザーに配布。

悪意のあるバージョンは12月24日から26日までの期間に活動していました。問題が発覚した後、チームは拡張機能を安全なバージョン2.69にロールバックし、侵害されたキーを取り消しました。

被害にあったのは誰か

この脆弱性は、指定された日付にウォレットにアクセスしたデスクトップ拡張機能バージョン2.68のユーザーのみを対象としました。モバイルアプリや他のバージョンの拡張機能は安全な状態に保たれました。

分析者はハッカーが管理する17のアドレスを特定しました。総被害額は$8.5百万です。

「このインシデントは私たちにとって重大な教訓であるだけでなく、サプライチェーン攻撃に関する業界全体の転換点となるものです」— Trust Walletの声明

資金の返還プロセス

同社はすでに被害者との対応を開始しています。補償を受けるには、公式サポートフォームから申請し、ウォレット所有権の認証を行う必要があります。

Trust Walletは、詐欺師の増加によりこのプロセスの難しさを強調しました。被害を受けた2520のアドレスにはすでに5000件以上の申請が寄せられています。チームはユーザーに忍耐を呼びかけ、フィッシングに注意するよう促しています。公式サポートはシードフレーズを要求しません。

今後の対策として、プロジェクトはセキュリティ対策を強化し、コードの依存関係の監査や認証情報のローテーションを実施しました。

なお、SlowMistによると、2025年にはフィッシング攻撃による盗難資金は83%減少し、$83.85百万となっています。