Binanceが支援するTrustWalletは、暗号資産業界で最も人気のあるセルフカストディウォレットの一つですが、異例のハッキング被害に遭いました。悪意のある者たちはシードフレーズを傍受し、自動的にウォレットを復元して、さまざまな暗号資産で700万ドル以上を盗みました。
TrustWalletがどのようにハッキングされ、なぜそれが壊滅的だったのか
本日、2025年12月26日、TrustWalletは、主流のマルチチェーン暗号資産ウォレットとして、ハッカー攻撃を受けました。サイバーセキュリティ研究者によると、悪意のあるコード(JavaScriptペイロード)がGoogle Chrome用TrustWalletブラウザー拡張機能のv2.68.0ビルドに注入されていたことが明らかになりました。
TrustWalletは、感染したChrome拡張機能v2.68.0を2025年12月24日にリリースしました。その直後、このバージョンを通じてシードをインポートしたりアクセスしたユーザーは、即座に資金を失い始めました。
技術的には、攻撃の経路は次の通りです:悪意のあるソフトウェア要素がウォレットによってアナリティクスモジュールとして認識されました。しかし実際には、シードフレーズへアクセスし、数日前に作成されたドメインへそれらを送信していました。
これが発覚するのを防ぐために、これらのドメインは「TrustWallet Metrics」や「TrustWallet Metrics API」などの名称で偽装されていました。同時に、ニーモニックが漏洩すると、悪意のある者たちは自分たちのインフラ上でウォレットを復元(インポート)し、正当に資金を引き出しました。
この仕組みにより、ハッキングは非常に危険かつ静かに進行しました。悪意のある者たちにシードフレーズが奪われると、承認や認証、ウォレットのオープンすら不要となります。そのため、セキュリティ研究者からの唯一の推奨は、TrustWalletがインストールされたPCをインターネットから切り離すことでした。
この攻撃は、Bitcoin(BTC)、Solana(SOL)、BNB Smart Chain(BSC)、および複数のEVMエコシステムL2上の資金に影響を及ぼしました。
TrustWalletチームが沈黙を破る:損失は補償されるのか?
盗まれた資金は直ちにChangeNOW、FixedFloat、KuCoin、HTXに送金されました。当初、ユーザーたちはどれだけの暗号資産が盗まれたのかさえ把握できませんでした。
TrustWalletの公式声明によれば、損失の合計額は約700万ドルに相当します。開発チームはすでにv2.69.0ビルドをリリースしており、全員にアップグレードを推奨しています。
TrustWalletチームは、すべての被害者に返金することを約束しています。補償プログラムの詳細はまだ発表されていません。
TWTの価格は直後に0.76ドルまで急落し、9月中旬以来の安値となり、一気に8%下落しました。記事執筆時点では、その損失は吸収されています。
