Trust Walletの最新パッチでもセキュリティの抜け穴が残り、遅いMistアラートが明らかに

Slow Mistのセキュリティ研究者は、Trust Walletのブラウザ拡張機能に関して重大な警告を発し、最新のアップデート後も重大な脆弱性が残っていることを指摘しています。mistの報告によると、セキュリティ上の懸念を解消するとされたバージョン2.69.0には、依然として問題のあるコードが含まれており、ユーザー資産の安全性を脅かしています。

継続するリスク：PostHog JSが依然存在

調査の結果、Trust Walletが問題の修正を試みたにもかかわらず、パッチ済みのバージョンにPostHog JSのコードが残存していることが判明しました。これは、元の脆弱性の深刻さを考えると特に懸念される点です。悪意のあるコードは、シードフレーズやリカバリーメモなどの敏感なウォレット情報を傍受し、攻撃者が管理するサーバー（api.metrics-trustwallet.com）に送信するように設計されていました。

セキュリティインシデントのタイムライン

Trust Walletのブラウザ拡張機能のバージョン2.68.0には、重要なウォレットデータを収集可能な有害なスクリプトが含まれていることが最初に判明しました。開発チームはこれに対処するためにバージョン2.69.0をリリースしましたが、Slow Mistのmistレポートによると、アップデートの過程で危険なコード要素は完全に除去されていませんでした。

ユーザーへの影響

アップデートされたバージョンにPostHog JSが残存していることは、未解決の脅威ベクターを示しています。バージョン2.69.0にアップグレードしたユーザーは、データ収集や最も敏感な資格情報の漏洩のリスクに引き続きさらされる可能性があります。Slow Mistが追って警告を出す必要があった事実は、パッチが包括的な修正に至っていないことを示しています。

この事例は、敏感な暗号資材を扱うブラウザ拡張機能を展開する前に、警戒心を持ったセキュリティ対策と徹底した検証の重要性を改めて浮き彫りにしています。