【緊急】Trust Walletブラウザ拡張機能v2.68に重大な欠陥|600万ドル流出の全貌
Web3の世界において、あなたの資産を守る最後の砦は「ウォレット」です。しかし、その砦自体に「裏口(バックドア)」が作られていたとしたら……。
2025年12月25日、聖なる夜の裏側で、暗号資産界隈に激震が走りました。世界で最も利用されているウォレットの一つである「Trust Wallet」のブラウザ拡張機能(バージョン2.68)に、ユーザーのリカバリーフレーズ(ニーモニック)を攻撃者へ送信する悪意のあるコードが含まれていたことが判明したのです。
本記事では、この衝撃的な事件の全貌と、あなたが対象者である場合の緊急対応、そして二度とこのような被害に遭わないためのWeb3セキュリティの本質をプロの視点で徹底解説します。
1. 何が起きたのか?v2.68に潜んでいた「バックドア」の正体
2025年12月25日から26日にかけて、著名なオンチェーンアナリストZachXBT氏やセキュリティ機関の報告により、Trust Walletのブラウザ拡張機能バージョン2.68.0に重大なバックドアが仕込まれていることが明らかになりました。
被害の規模と攻撃の巧妙さ
ブロックチェーンデータの分析によると、この脆弱性を突いた攻撃により、累計600万ドル(約9.4億円)以上の資産が既に流出しています。犯行のタイムラインは以下の通りです。
- 12月8日:初期の偵察攻撃(プロトタイプ)を確認。
- 12月22日:悪意のあるコードが埋め込まれたアップデートが配信。
- 12月25日:ユーザーの資産流出が加速し、セキュリティコミュニティが異常を検知。
盗まれた資金は、ChangeNOW、FixedFloat、KuCoinなどの取引所へ即座に送金されており、犯行の組織性が際立っています。
ニーモニックが「丸見え」になる仕組み
通常、ウォレットのリカバリーフレーズは、ユーザーのローカルデバイス内でのみ暗号化されて保存されます。しかし、今回のv2.68では、ウォレットを作成またはインポートした瞬間に、そのフレーズが平文のまま攻撃者の管理サーバーへ転送される仕組みになっていました。
これは、金庫を買った瞬間に、その暗証番号が自動的に泥棒へメール送信されるようなものです。
2. 【重要】あなたが「対象者」かどうかを確認するチェックリスト
以下の条件に当てはまる方は、資産が盗まれるリスクが極めて高い状態にあります。直ちに確認してください。
| 項目 | 影響を受ける(危険) | 影響を受けない(安全) |
|---|---|---|
| プラットフォーム | PC版ブラウザ拡張機能 | モバイルアプリ版 (iOS/Android) |
| バージョン | v2.68.0 | v2.67以前 または v2.69以降 |
| 実施アクション | 期間中に新規作成・復元した | 以前から使用中で何も入力していない |
3. 【3ステップ】資産を守るための緊急レスポンス
もしあなたがv2.68を使用していた場合、たとえ今資産が残っていても、そのウォレットは「汚染」されています。以下の手順で即座に行動してください。
Step 1: 拡張機能の無効化とアップデート
ブラウザの拡張機能設定からTrust Walletを一時的に無効化し、最新バージョン(v2.69.0以上)へ強制アップデートしてください。
Step 2: 「新しい」ウォレットの作成(必須)
ここが最も重要です。 修正版にアップデートしたからといって、古いウォレットを使い続けてはいけません。あなたのニーモニックは既に攻撃者のデータベースに保存されている可能性があります。たとえ今残高があっても、攻撃者は「いつでも引き出せる」状態です。新しいシードフレーズを生成し、完全に新しいアドレスを作成してください。
Step 3: 資産の移動と保護
新しく作成した安全なウォレットアドレスへ、速やかに全資産を移動させてください。また、これを機にソフトウェアウォレットだけに頼る運用のリスクを再認識しましょう。
参考記事:Trust Wallet脆弱性でBTC秘密鍵12万件が危険!Ledgerへの緊急移行ガイド
4. 2025年は「ウォレット受難の年」?相次ぐエクスプロイトの教訓
今回の事件は、決して孤立した不運ではありません。2025年は、Web3エコシステムの根幹を狙った大規模な攻撃が頻発しました。
- Bybitハック(2025年2月):14.6億ドルの流出。開発環境へのJSインジェクションが原因。
- Solana Drainer攻撃:偽のdApps承認を通じて、署名を盗み取る手法が一般化。
私たちが「お財布」として信頼しているアプリも、一文字のコードミスや悪意のあるインジェクションで、一瞬にして「集金マシン」に豹変するリスクを孕んでいます。Web3の旅を安全に続けるためには、基礎知識の習得が不可欠です。
参考記事:Web3ウォレットとの出会い:デジタルな旅を彩る、あなただけのお財布とパスポート
まとめ:あなたの「鍵」を守れるのは、あなただけ
Web3の世界は、自由と引き換えに「完全自己責任」という厳しい側面を持っています。今回の事件から得られる最大の教訓は、「ホットウォレットに全財産を入れない」、そして「一度漏洩の疑いが出た鍵(シードフレーズ)は二度と使わない」という鉄則です。
【追記: 2025/12/27 7:38 JST】Trust Wallet ブラウザ拡張機能のセキュリティ問題に関する最新情報(2025年12月25日発生)
2025年12月25日、Trust Wallet公式より、ブラウザ拡張機能の特定のバージョンにおいてセキュリティインシデントが発生したことが発表されました。対象となるユーザーは、直ちに以下の対応を行ってください。
1. 影響範囲の確認
今回のインシデントは、以下の環境を利用しているユーザーに限定されています。
- 影響を受ける対象:Trust Wallet Browser Extension バージョン 2.68
- 影響を受けない対象:モバイル版アプリ、および上記以外のバージョンのブラウザ拡張機能
2. 推奨される緊急対応策
被害を防止するため、公式は対象ユーザーに対して「拡張機能の無効化」と「バージョン 2.69 へのアップデート」を強く推奨しています。
安全なアップデートの手順
資金の安全を確保するため、拡張機能のウォレット画面を直接開かずに、以下の手順でブラウザの設定から更新を行ってください。
- Chromeのアドレスバーに
chrome://extensions/?id=egjidjbpglichdcondbcbdnbeeppgdphを入力して設定画面を開く。 - Trust Walletのスイッチを「オフ」に切り替えて無効化する。
- 画面右上の「デベロッパー モード(Developer mode)」をオンにする。
- 左上に表示される「更新(Update)」ボタンをクリックする。
- 詳細を確認し、バージョンが 2.69 になっていることを確認してください。
※アップデートには必ず公式のストアリンクを使用してください:
Chrome ウェブストア - Trust Wallet
3. 被害に遭われた場合、および公式のサポート
コミュニティ内では、一部のユーザーから資金流出の報告も上がっています。万が一、身に覚えのない送金や被害が確認された場合は、以下の公式サポート窓口へ連絡してください。
公式サポート連絡先
- 公式サポート受付:https://twtholders.trustwallet.com/
4. まとめとコミュニティの動向
今回のインシデントはクリスマス時期に発生し、X(旧Twitter)上では220万ビューを超える大きな注目を集めました。公式チームは個別サポートを継続しており、今後も追加の更新情報が発表される見込みです。該当するユーザーは、速やかに最新のセキュアバージョン(2.69)への更新を完了させてください。
(※本情報は2025年12月27日時点の公式発表に基づいています。最新の状況はTrust Wallet公式Xアカウント @TrustWallet をご確認ください。)
コメント