プラグインウォレットのセキュリティインシデント概要：偽造ソフトウェアやフィッシング攻撃が多発、公式の脆弱性は少数

BlockBeats News、12月26日。今朝、Trust Walletは公式に、Trust Walletブラウザー拡張機能バージョン2.68におけるセキュリティ脆弱性を確認したと発表しました。オンチェーン調査員ZachXBTの監視によると、すでに数百人のTrust Walletユーザーが資金を盗まれており、損失総額は少なくとも600万ドルに達しています。いくつかの主流ブラウザー拡張機能で以下のようなセキュリティインシデントが発生しています：

Trust Walletブラウザー拡張機能は、2022年11月にWebAssemblyの脆弱性が発見されており、これは2022年11月14日から23日までに作成された新しいウォレットアドレスのみに影響しました。この脆弱性により、約17万ドルが盗まれました。Trust Walletはバグバウンティプログラムを通じて問題を発見し、脆弱性を修正し、影響を受けたユーザーに全額補償を行いました。

MetaMaskは2022年に「Demonic」と呼ばれる脆弱性が発生し、バージョン10.11.3以前の古いバージョンで秘密鍵がブラウザーのメモリ内に露出する可能性がありました。しかし、大規模な資金損失は確認されていません。その後、2023年から2025年にかけてMetaMask公式ウォレット拡張機能は安全に運用されていましたが、偽の拡張プログラムによる影響を頻繁に受けていました。Chainalysisのレポートによると、2025年にはMetaMaskユーザーの異常な盗難事件が大幅に増加しており、主な原因は偽の悪意あるソフトウェアやフィッシングであり、プラグインウォレット自体のセキュリティ問題ではありません。MetaMaskは現在、この件に関する月次セキュリティレポートを発表しています。しかし、人気のEthereumプラグインウォレットとして、依然として偽造の主な標的となっています。

Phantom（主要なSolanaウォレット拡張機能）も2022年に「Demonic」脆弱性の影響を受けましたが、重大な資金損失は確認されていません。2025年初頭には、Phantomウォレット拡張機能に関するセキュリティ論争が発生し、ユーザーがPhantomによる暗号化なしでメモリに秘密鍵を保存していたため、ハッカー攻撃により50万ドルを失いました。この件でニューヨーク南部地区で集団訴訟が提起されました。Phantomチームはすべての告発を強く否定し、「根拠のない」訴訟であると主張し、Phantomは非カストディアルウォレットであり、資金の安全性はユーザー自身の責任であることを強調しました。

Rabby Wallet（DeFiフレンドリーな拡張機能）は、2022年にRabby Swapの脆弱性によりハッキング被害を受け、ハッカーが約20万ドル相当の暗号資産を盗みました。この脆弱性はプラグイン自体ではなく、内蔵のSwap機能に起因していました。

ブラウザー拡張ウォレットが侵害される最も一般的な方法は、偽アプリのダウンロードによるものです。2025年には、Firefoxストアでこのような事件が複数発生し、MetaMask、Phantom、Trust Walletなど複数の主流暗号プラグインウォレットに影響を与えました。これに対し、プラグイン自体の公式な脆弱性は比較的まれです。ユーザーは資金の安全を確保するため、必ず公式のChrome Web Storeからのみダウンロードすることを推奨します。