Trust Walletは2025年12月26日、Google Chrome拡張機能のバージョン2.68において、約700万ドルの暗号資産流出を引き起こすセキュリティインシデントが発生したことを公表した。同拡張機能の利用者は約100万人で、影響を受けたユーザーには全額返金する方針だ。
ブロックチェーンセキュリティ企業SlowMistの分析によると、バージョン2.68には悪意のあるコードが含まれており、ウォレットに保存されたニーモニックフレーズを復号化し、攻撃者のサーバーapi.metrics-trustwallet[.]comに送信する仕組みが組み込まれていた。
このドメインは2025年12月8日に登録され、12月21日から通信が開始された。流出した資産の被害者は数百人とされている。Trust Walletは国家主体による攻撃の可能性を示唆し、Binanceの共同創設者Changpeng Zhaoは内部者による犯行の可能性を指摘した。
From: 
Trust Wallet Chrome Extension Breach Caused $7 Million Crypto Loss via Malicious Code
【編集部解説】
今回のTrust Wallet Chrome拡張機能を標的としたセキュリティインシデントは、暗号資産業界における「サプライチェーン攻撃」の新たな脅威を浮き彫りにしました。特筆すべきは、攻撃者が外部の悪意あるnpmパッケージを注入したのではなく、Trust Wallet自体の内部コードベースを直接改ざんした点です。
攻撃の手口は極めて巧妙でした。攻撃者はPostHogという正規の分析ライブラリを悪用し、本来は利用状況の把握に使われるべきツールをデータ窃取の経路に転用しています。ユーザーがウォレットをアンロックする際に入力するパスワードで暗号化されたニーモニックフレーズを復号化し、攻撃者のサーバーへ送信する仕組みが組み込まれていました。
12月8日にドメインが登録され、実際の攻撃開始は12月21日という時系列から、攻撃者は周到な準備期間を設けていたことがわかります。Trust Walletは国家主体による攻撃の可能性に言及していますが、Binanceの共同創設者であるChangpeng Zhao氏が内部者の関与を示唆している点も見逃せません。開発者デバイスへの不正アクセス、あるいはデプロイメント権限の奪取がなければ、このような内部コード改ざんは困難だからです。
ブラウザ拡張機能は、秘密鍵や署名リクエストに直接アクセスできる特権的な立場にあります。スマートコントラクトの脆弱性を突く攻撃とは異なり、ウォレットレベルでの侵害はオンチェーンでの保護機構が働かず、被害の復旧が極めて困難です。
今回の事案は、非カストディアル型ウォレットの「自己管理」というメリットが、配布チャネルの侵害によって一転してリスクとなり得ることを示しています。公式ストアからダウンロードした正規のソフトウェアであっても、アップデート過程で悪意あるコードが混入する可能性があるという現実は、Web3エコシステム全体のセキュリティモデルを再考させる契機となるでしょう。
【用語解説】
ニーモニックフレーズ(Mnemonic Phrase)
暗号資産ウォレットの秘密鍵を人間が記憶しやすい12〜24個の英単語で表現したもの。このフレーズがあれば、どのデバイスからでもウォレットを復元できるため、流出すると資産が盗まれる危険性が極めて高い。
非カストディアル型ウォレット(Non-Custodial Wallet)
ユーザー自身が秘密鍵を管理する暗号資産ウォレット。取引所などの第三者に資産を預けないため、自己責任で資産を保護する必要がある。
PostHog
オープンソースのプロダクト分析プラットフォーム。ユーザー行動の追跡や分析に使用されるが、今回は正規ツールが悪用された。
【参考リンク】
Trust Wallet公式サイト(外部)
Binanceグループによるマルチチェーン対応の非カストディアル型暗号資産ウォレット。
SlowMist公式サイト(外部)
ブロックチェーンセキュリティを専門とする企業。インシデント対応サービスを提供。
PostHog公式サイト(外部)
オープンソースのプロダクト分析プラットフォーム。正規の開発ツールである。
Binance公式サイト(外部)
世界最大級の暗号資産取引所。Trust Walletの親会社である。
Chrome Web Store – Trust Wallet拡張機能(外部)
Trust WalletのChrome拡張機能公式配布ページ。修正版v2.69を公開中。
【参考記事】
Trust Wallet Warning! $6M+ Lost in BTC, ETH, and SOL via Browser Extension(外部)
600万ドル以上の被害を報告。ZachXBTによる初期警告とコミュニティの反応を詳述。
Trust Wallet Chrome extension hack tied to millions in losses(外部)
12月24日リリースの侵害された拡張機能について報告。フィッシングドメインも指摘。
Trust Wallet confirms $7M impact from browser extension incident(外部)
公式発表を基に700万ドルの被害確認と全額返金の約束について詳報。
Trust Wallet browser extension attacked with losses exceeding $6 million(外部)
攻撃者の準備期間から資金移動までの時系列を詳述。過去の類似事例と比較分析。
Users of Binance-owned Trust Wallet lose $7 million to hacked Chrome extension(外部)
2025年の暗号資産盗難が67.5億ドルに達したChainalysisレポートを引用。
【編集部後記】
暗号資産を保管する際、「自分で管理するから安全」と考えがちですが、今回の事案はその前提を揺るがすものでした。公式ストアからダウンロードした正規のアップデートであっても、配布チャネルが侵害されれば被害に遭う可能性があります。
みなさんは普段、ブラウザ拡張機能の更新通知が来たとき、どのように判断されていますか。暗号資産に限らず、私たちが日常的に使うソフトウェアのセキュリティについて、改めて考える機会になればと思います。
