ソース:CryptoTaleオリジナルタイトル:Trust Wallet、ブラウザ拡張機能v2.68のハッキングに関するアップデートを発表オリジナルリンク:https://cryptotale.org/trust-wallet-issues-update-on-browser-extension-v2-68-hack/Trust Walletは、悪意のあるブラウザ拡張機能によってユーザのウォレットが侵害された後、詳細なアップデートを発表しました。この事件は、攻撃者がリークされた公開資格情報を悪用し、2025年12月24日から12月26日の間にChrome WebストアでTrust Walletブラウザ拡張機能v2.68の不正リリースを行ったことに関係しています。## Trust Walletの確認内容Trust Walletによると、攻撃者は内部承認およびレビュー手続きを回避した改ざんされたバージョンのブラウザ拡張機能v2.68を公開しました。攻撃者はリークされたChrome WebストアAPIキーを使用して、拡張機能を外部に公開しました。この悪意のある拡張機能は、機密性の高いウォレットデータへのアクセスを可能にし、ウォレットが開かれた後にユーザの承認なしに取引を実行できる状態にしました。Trust Walletは、この事件は指定された期間中にログインしたユーザのみが影響を受けたと強調しています。同社は、この事件が2025年11月のSha1-Hulud攻撃と関連していると高い確信を持っています。これは、複数のセクターにわたるnpmパッケージのサプライチェーン侵害であり、その際にTrust Walletの開発者GitHubの秘密情報が漏洩し、拡張機能のソースコードアクセスや公開資格情報が露呈しました。攻撃者はこのアクセスを利用し、以前の拡張コードを基にした改ざんビルドを準備し、攻撃者が管理するドメインを参照してウォレットデータを収集する仕組みを作り上げました。## 影響範囲2025年12月24日から12月26日の間にログインしたブラウザ拡張機能v2.68のユーザのみが影響を受けました。12月26日11:00 UTC以降にログインしたユーザは影響を受けていません。モバイルアプリのユーザや他のバージョンのブラウザ拡張機能は影響を受けませんでした。Trust Walletは、事件中に2,520のウォレットアドレスから資産が流出し、複数のブロックチェーンにわたって約850万ドル相当の資産が盗まれたと特定しました。調査官はこれらの損失を攻撃者が管理する17のウォレットアドレスに関連付けています。ただし、これらの攻撃者アドレスはTrust Wallet以外のユーザの資産も流出させており、調査は引き続き追加のウォレットの追跡を行っています。## 対応と補償計画Trust Walletは拡張機能をロールバックし、クリーンなバージョンv2.69をリリースするとともに、公開資格情報を無効化し、展開アクセスを制限しました。この対応には、ブロックチェーン分析パートナーや研究者との連携も含まれ、不審なウォレット活動のフラグ付けや攻撃者のインフラの妨害に役立ちました。Trust Walletは、影響を受けたユーザに対して自主的に補償を行うことを確認しました。同社は、補償対象となる認証済みウォレットを2,520に特定しています。ただし、5,000件を超える請求があり、検証に懸念が生じています。そのため、同社は複数のデータポイントと手動のケースレビューを組み合わせた厳格な所有権確認を強調し、不正を防止しています。また、Trust Walletは、ブラウザ拡張機能v2.70において、影響を受けたユーザに追加の検証を提供するための検証ツールの開発を発表しました。影響を受けたユーザには、資金を新たに作成したウォレットに移動するように推奨されました。このアップデートには、アクセス制御の強化、監視の強化、資格情報のローテーションなどのセキュリティ改善も詳細に記載されています。調査は引き続き進行中で、公式チャネルを通じて最新情報が提供されています。
Trust Walletブラウザ拡張機能v2.68の脆弱性:$8.5M流出、2,520ウォレットに影響&補償計画
ソース:CryptoTale オリジナルタイトル:Trust Wallet、ブラウザ拡張機能v2.68のハッキングに関するアップデートを発表 オリジナルリンク:https://cryptotale.org/trust-wallet-issues-update-on-browser-extension-v2-68-hack/ Trust Walletは、悪意のあるブラウザ拡張機能によってユーザのウォレットが侵害された後、詳細なアップデートを発表しました。この事件は、攻撃者がリークされた公開資格情報を悪用し、2025年12月24日から12月26日の間にChrome WebストアでTrust Walletブラウザ拡張機能v2.68の不正リリースを行ったことに関係しています。
Trust Walletの確認内容
Trust Walletによると、攻撃者は内部承認およびレビュー手続きを回避した改ざんされたバージョンのブラウザ拡張機能v2.68を公開しました。攻撃者はリークされたChrome WebストアAPIキーを使用して、拡張機能を外部に公開しました。
この悪意のある拡張機能は、機密性の高いウォレットデータへのアクセスを可能にし、ウォレットが開かれた後にユーザの承認なしに取引を実行できる状態にしました。Trust Walletは、この事件は指定された期間中にログインしたユーザのみが影響を受けたと強調しています。
同社は、この事件が2025年11月のSha1-Hulud攻撃と関連していると高い確信を持っています。これは、複数のセクターにわたるnpmパッケージのサプライチェーン侵害であり、その際にTrust Walletの開発者GitHubの秘密情報が漏洩し、拡張機能のソースコードアクセスや公開資格情報が露呈しました。攻撃者はこのアクセスを利用し、以前の拡張コードを基にした改ざんビルドを準備し、攻撃者が管理するドメインを参照してウォレットデータを収集する仕組みを作り上げました。
影響範囲
2025年12月24日から12月26日の間にログインしたブラウザ拡張機能v2.68のユーザのみが影響を受けました。12月26日11:00 UTC以降にログインしたユーザは影響を受けていません。モバイルアプリのユーザや他のバージョンのブラウザ拡張機能は影響を受けませんでした。
Trust Walletは、事件中に2,520のウォレットアドレスから資産が流出し、複数のブロックチェーンにわたって約850万ドル相当の資産が盗まれたと特定しました。調査官はこれらの損失を攻撃者が管理する17のウォレットアドレスに関連付けています。ただし、これらの攻撃者アドレスはTrust Wallet以外のユーザの資産も流出させており、調査は引き続き追加のウォレットの追跡を行っています。
対応と補償計画
Trust Walletは拡張機能をロールバックし、クリーンなバージョンv2.69をリリースするとともに、公開資格情報を無効化し、展開アクセスを制限しました。この対応には、ブロックチェーン分析パートナーや研究者との連携も含まれ、不審なウォレット活動のフラグ付けや攻撃者のインフラの妨害に役立ちました。
Trust Walletは、影響を受けたユーザに対して自主的に補償を行うことを確認しました。同社は、補償対象となる認証済みウォレットを2,520に特定しています。ただし、5,000件を超える請求があり、検証に懸念が生じています。そのため、同社は複数のデータポイントと手動のケースレビューを組み合わせた厳格な所有権確認を強調し、不正を防止しています。
また、Trust Walletは、ブラウザ拡張機能v2.70において、影響を受けたユーザに追加の検証を提供するための検証ツールの開発を発表しました。影響を受けたユーザには、資金を新たに作成したウォレットに移動するように推奨されました。このアップデートには、アクセス制御の強化、監視の強化、資格情報のローテーションなどのセキュリティ改善も詳細に記載されています。調査は引き続き進行中で、公式チャネルを通じて最新情報が提供されています。