Trust Wallet、700万ドル相当のブラウザ拡張機能侵害を受け内部リスクを調査。出典:Web Summit、CC BY 2.0、Wikimedia Commons経由
Trust Walletは、ブラウザ拡張機能に関連するセキュリティインシデントにより、約700万ドルのユーザー資金が影響を受けたことを確認しました。これにより、暗号資産業界全体でアップデートのセキュリティとインサイダーリスクに関する深刻な懸念が生じています。この問題はTrust Walletブラウザ拡張機能バージョン2.68に起因しており、同社はモバイルアプリユーザーや他の拡張機能バージョンには影響がなかったことを強調しています。
Binanceの創設者で元CEOのChangpeng Zhao氏(CZ)は、この事態について公式に発言し、Trust Walletは影響を受けたすべてのユーザーに全額返金し、顧客資金は安全であるとコミュニティに保証すると述べました。しかしCZ氏は、不正アクセスされたアップデートがどのようにして公式の配布チェックを通過できたのかについては、捜査当局が依然として調査中であることを強調しました。CZ氏によると、内部関係者による関与が最も可能性の高い説明と考えられており、純粋に外部からの攻撃という見方から焦点が移っています。
この発覚により、内部アクセス制御、署名鍵、リリース承認ワークフローに関する監視が強化されました。Chromeウェブストアなどのプラットフォームで配布されるブラウザ拡張機能には、厳格な認証情報管理と多層的なセキュリティチェックが求められます。悪意のあるビルドや侵害されたビルドが公式チャネルでリリースされた場合、捜査官は通常、開発者認証情報の盗難または内部からの直接アクセスを疑います。どちらも、従来のソフトウェアの脆弱性ではなく、運用上のセキュリティ上の弱点を示唆しています。
Trust Walletはその後、払い戻し手続きが最終段階にあり、影響を受けたユーザーには明確な手順が直接提供されることを確認しました。同時に、同社は、注目を集めた暗号資産セキュリティインシデントに続いて発生する一般的な二次リスクである、公式サポートを装ったフィッシング詐欺に警戒するようユーザーに警告しました。
市場の反応は迅速でしたが、長くは続きませんでした。Trust WalletのネイティブトークンであるTWTは、12月25日のニュース報道後、投資家の不確実性を反映して急落しました。翌日、損失が限定的であり、返金が行われることが確認されると、価格は安定し、その後反発しました。
このインシデントは、暗号資産ウォレットのエコシステムが直面するより広範な課題を浮き彫りにしています。ブラウザ拡張機能がデジタル資産への主要なアクセスポイントとなるにつれ、アップデートのガバナンス、内部脅威の軽減、そして安全なリリースパイプラインが、重要な攻撃対象領域として浮上しています。Trust Walletの事例は、ユーザーの資金を守る上で、堅牢な内部セキュリティが外部脅威からの防御と同様に重要であることを改めて認識させてくれます。
