トラストウォレットの利用者が、クリスマス当日に発生した不正流出により、約700万ドル相当の資金を失った。この攻撃は12月初旬から計画されていたという。
トラストウォレットは木曜日のX投稿で、デスクトップ利用者を対象に、ブラウザ拡張機能のバージョン2.68がセキュリティ侵害を受けたと明らかにした。同社は利用者に対し、バージョン2.89へのアップグレードを呼びかけている。
トラストウォレットを傘下に持つバイナンスの共同創業者チャンポン・ジャオ(通称CZ)氏は、金曜日のX投稿で、流出した資金は補償されると述べた。
仮想通貨ウォレットを狙った攻撃は、仮想通貨投資家にとって深刻な脅威となっている。チェイナリシスによると、2月に発生した14億ドル規模のバイビットへのハッキングを除外すると、2025年に盗まれた資金のうち、個人ウォレットの攻撃は37%を占めていた。
もっとも、今回の約700万ドルの被害は、過去の大規模ウォレット侵害と比べれば小さい。2024年2月には、プレイ・トゥ・アーンゲーム「アクシー・インフィニティ」の共同創業者ジェフ・ジーリン氏が、ウォレットの不正利用とみられる攻撃で約970万ドル相当のイーサリアムを失っている。
内部関与を疑う声も
ブロックチェーンセキュリティ企業スローミストの共同創業者ユー・シアン氏は金曜日のX投稿で、攻撃者は少なくとも12月8日には準備を開始していたと指摘する。
「攻撃者は少なくとも12月8日から準備を始め、12月22日にバックドアの埋め込みに成功し、クリスマス当日に資金移動を開始したことで発覚した」
このバックドアコードは、利用者の個人情報も収集し、攻撃者のサーバーに送信していたという。
オンチェーン調査で知られるZachXBT氏によると、影響を受けたトラストウォレット利用者は「数百人」に上る。
一部の業界関係者は、攻撃者がトラストウォレット拡張機能の新バージョンを公式サイトに提出できた点に注目し、内部関与の可能性を指摘している。
アンディ・リアン氏は金曜日のX投稿で、「この種の『ハッキング』は自然発生的なものではない。内部関係者が関与している可能性は高い」と述べた。
CZ氏もこの見方に同意し、今回の侵害は「内部関与である可能性が最も高い」との認識を示している。
また、スローミストのシアン氏は、攻撃者がトラストウォレット拡張機能のソースコードに「非常に精通していた」と指摘し、その知識が機密情報を収集するためのバックドア実装を可能にしたと説明した。
bitbankで新規口座開設後、1万円の入金でもれなく現金1,000円プレゼント!【PR】
