Trust Walletハッカーコード漏洩：$6M 悪意のある拡張機能を通じて盗まれた暗号資産

高度な攻撃手法により、Trust Walletユーザーを標的としたサイバー攻撃が発生し、デジタル資産約$6 百万ドルが盗まれました。これは暗号ウォレット分野における最も深刻なセキュリティ脆弱性の一つを露呈しています。この攻撃は、ブラウザ拡張機能のソースコードに直接ハッカーコードが埋め込まれるというもので、セキュリティ研究者はこれを高度な持続的脅威（APT）(攻撃と分類しています。

ハッカーコードはどのようにTrust Walletユーザーを狙ったのか

2025年12月8日、攻撃者は悪意のあるドメインmetrics-trustwallet.comを登録しました。2週間後の12月21日〜22日に、セキュリティ研究者は最初のデータ流出の試みを検知しました。ハッカーコードは、非常にシンプルながら効果的な仕組みを用いて動作しました：ユーザーがTrust Walletのブラウザ拡張機能)バージョン2.68(を解除すると、悪意のあるコードが暗号化されたシードフレーズを傍受します。

この脆弱性は、第三者のライブラリや依存関係の侵害によるものではなく、攻撃者が直接Trust Walletの内部コードベースに悪意のあるコードを注入したものでした。この点は非常に重要です：つまり、脅威の関係者は攻撃が公になる数週間前に、Trust Walletの開発インフラや展開システムにアクセスしていたことを示しています。

攻撃の手法は、ユーザーがウォレットを解除した際に入力したパスワードやパスキーを利用して、暗号化されたニーモニックフレーズを盗み出すことに依存していました。ハッカーコードはこれらのフレーズを復号し、攻撃者のコマンド＆コントロールサーバ)api.metrics-trustwallet[.]com(に送信し、侵害されたウォレットを完全に制御できる状態にしました。

攻撃の詳細：悪意のあるハッカーコードの技術的解説

セキュリティ研究者のSlowMistは、Trust Wallet拡張機能のバージョン2.67と2.68を比較し、詳細な分析を行いました。その結果、ハッカーコードがアプリケーションレベルでどのように機能していたかを明らかにしました。

悪意のあるペイロードは、拡張機能に保存されているすべてのウォレットを巡回し、ユーザーの暗号化されたニーモニックフレーズを抽出するリクエストを発行しました。取得後、コードはユーザーがウォレット解除時に入力した認証情報を用いてフレーズを復号します。復号に成功すれば（すべての正当なユーザーに対して成功）、露出したニーモニックフレーズは自動的に攻撃者のサーバに送信されました。

このハッカーコードの洗練度は、プロフェッショナルレベルの開発能力を示しています。攻撃者は正規のPostHogJS分析ライブラリをカバーとして利用し、正規の分析データを悪意のあるインフラにリダイレクトしていました。この技術により、ハッカーコードは通常のウォレット操作に溶け込み、即時の検知を回避していました。

攻撃の動的解析では、復号後のニーモニックフレーズのデータがネットワークリクエストのエラーメッセージフィールドに埋め込まれていることが判明しました。これは巧妙な隠蔽技術であり、盗まれた認証情報がネットワークトラフィックを通じて送信される際に即座に検知されにくくなっています。BurpSuiteのトラフィック解析により、盗まれたリカバリーフレーズは一貫してerrorMessageフィールドにパッケージされ、攻撃者のサーバに送信されていたことが確認されました。

盗まれた資産と攻撃者のインフラの追跡

セキュリティ研究者zachxbtによると、今回の窃盗は複数のブロックチェーンにわたり大きな損失をもたらしました。

• ビットコイン（Bitcoin）ブロックチェーン：約33 BTCが盗まれ、2026年1月時点のレートで約)百万ドルに相当
• イーサリアム（Ethereum）およびLayer 2ネットワーク：合計(百万ドル相当の損失
• ソラナ（Solana）ブロックチェーン：約)盗難
• その他のネットワーク：さまざまなブロックチェーンエコシステムから追加の損失

窃盗後の分析では、攻撃者は盗んだ資産を分散型ブリッジや複数の中央集権型取引所を通じて即座に移動・交換し、資金の出所を隠し、回収を困難にしていることがわかっています。

悪意のあるドメインは、2025年12月8日02:28:18 UTCにNICENIC INTERNATIONAのドメイン登録業者を通じて登録されました。ドメイン登録と最初のデータ流出試行のタイミングから、この攻撃は綿密に計画された作戦であったことが強く示唆されます。ハッカーコードは急いで展開されたものではなく、計画的なキャンペーンの一環でした。

即時対応：コードベースの攻撃からウォレットを守るために

Trust Walletの開発チームは、バージョン2.68の脆弱性を確認し、緊急のセキュリティアドバイザリーを発表しました。公式の対応策は次の通りです。

Trust Walletのブラウザ拡張機能を使用している場合：

1. 直ちにインターネットから切断してください—これが最初のステップです。問題のある状態で接続を維持すると、資産の完全な喪失リスクが高まります。

2. オフラインの状態で秘密鍵またはニーモニックフレーズをエクスポートし、その後直ちにTrust Wallet拡張機能をアンインストールしてください。いかなる状況でもバージョン2.68を再有効化しないでください。

3. 資金を完全に新しい安全なウォレットに移動した後にのみ、バージョン2.69にアップグレードしてください$3 別のウォレットアプリ、ハードウェアウォレット、または新たに生成したリカバリーフレーズを持つ新規アカウント$431 。

4. できるだけ早くすべての資金を新しいウォレットアドレスに移してください。以前のバージョン2.68を通じてアクセスされたウォレットに残っている暗号資産はリスクにさらされています。

このハッカーコードの脆弱性は、バージョン2.68をインストールしていたすべてのユーザーに影響し、積極的に拡張機能を使用していたかどうかに関わらず、ウォレットの解除時に自動的に悪意のあるペイロードが実行される点に注意が必要です。

なぜこれがAPTレベルのハッカーコード脅威とみなされるのか

セキュリティ分析者は、この攻撃を高度な持続的脅威（APT）(攻撃と分類しています。その理由は複数あります。まず、攻撃の範囲と調整は、単なる偶発的なハッカーではなく、プロフェッショナルな脅威関係者によるものであることを示しています。次に、攻撃者がTrust Walletの開発または展開システムにアクセスしていたことは、インフラの標的型侵害を示唆しています。

ハッカーコードの正確さ—特定のウォレット解除メカニズムを狙い、暗号化されたフレーズを復号し、正規の分析リクエストを通じてデータを外部に流出させる能力—は、高度な技術力を証明しています。ドメイン登録から攻撃の発見までの1ヶ月以上のギャップは、綿密な計画と偵察活動の結果です。

この事件は、確立されたリソース豊富なプロジェクトであっても、巧妙なサプライチェーン攻撃の犠牲になり得ることを強く示しています。ハッカーコードは外部の脅威としてではなく、正規のアプリケーションの一部として位置付けられており、セキュリティ研究者が異常を指摘するまで、エンドユーザーにとって検知は非常に困難でした。

重要な注意喚起：Trust Walletバージョン2.68に以前接続していたウォレットに保存されている暗号資産は現在リスクにさらされている可能性が高いため、速やかに安全な代替手段への移行を行う必要があります。