Trust Wallet の Chrome 拡張機能ハッキングにより、Chrome ウェブストアのバグにより拡張機能がオフラインとなり、約束されていた請求ツールの提供が遅れたため、Trust Wallet は Google と協力してこの問題を修正する必要があり、ユーザーは宙ぶらりんの状態になりました。

最近のブラウザ拡張機能のハッキングの影響を受けたTrust Walletユーザーは、ウォレットプロバイダーがChrome拡張機能がChromeウェブストアから一時的に削除されたことを確認したため、新たな遅延に直面しています。

その結果、事件に関連した重要な請求検証ツールの展開が遅れることとなりました。

トラストウォレットの最高経営責任者（CEO）であるエオウィン・チェン氏は、新バージョンのリリースを試みている際にChromeウェブストアのバグに遭遇したため、拡張機能が利用できなくなったと述べた。

延期されたアップデートは、クリスマスのハッキングの被害者がウォレットの所有権を確認し、補償請求を安全に提出できるように設計された検証機能を導入することを目的としていました。

チェン氏は、グーグルはこの問題を認識しており、社内でエスカレーションを行っていると述べ、一方でユーザーには、ネット上で出回っている拡張機能の偽物やなりすましバージョンに警戒するよう警告しました。

攻撃者は偽のTrust Walletアップデートを悪用して資金を盗んだ

この障害は、Trust Wallet が 12 月下旬に始まったセキュリティ侵害の影響への対応を続けている最中に発生しました。

同社は12月25日、Chromeブラウザ拡張機能バージョン2.68の悪意あるバージョンが、通常のリリースプロセス外でChromeウェブストアを通じて配布されていたことを確認しました。

侵害された拡張機能により、攻撃者はウォレットの機密データにアクセスし、不正な取引を実行することができ、数百万ドルの損失につながりました。

Trust Wallet の内部調査によると、影響を受けたのはバージョン2.68をインストールし、12月24日から12月26日の間にウォレットにログインしたユーザーのみでした。

モバイルアプリユーザー、他の拡張機能バージョンのユーザー、および12月26日以降にインストールまたはログインしたユーザーには影響はありません。

同社は、事件中に流出したウォレットアドレス2,520件を特定し、攻撃者が管理するウォレット17件にリンクされた資産総額は約850万ドルだったと発表した。

しかし、ウォレット側は、攻撃者のアドレスの一部はTrust Walletとは無関係のウォレットも標的にしていたと指摘しています。

セキュリティ研究者らはその後、悪意のあるビルドは正当なものに見え、Chrome のレビュープロセスも通過しましたが、リカバリフレーズを抽出できる隠しコードが含まれていたことを確認しました。

複数のユーザーは、拡張機能にシードフレーズをインポートするだけで、複数のブロックチェーン間で即時の資金流出が引き起こされたと述べた。

Trust Walletが拡張機能ハッキングを解決、偽の報酬詐欺が急増

Trust Walletは、この侵害の原因を、11月に表面化し、開発者ツールの侵害を通じて複数の企業に影響を与えたSha1-Huludと呼ばれるより広範なサプライチェーン攻撃までさかのぼりました。

同社によると、公開されたGitHubの秘密と漏洩したChromeウェブストアのAPIキーにより、攻撃者は内部承認チェックを回避し、悪意のある拡張機能を直接アップロードすることができたということです。

これを受けて、Trust Walletはクリーンリリースにロールバックし、バージョン2.69を公開し、侵害された公開資格情報を無効化しました。また、被害者と判明したすべての人々に対し、自主的な補償制度を約束しました。

12月29日、同社は正式な請求手続きを開始し、ユーザーは公式サポートポータルを通じてウォレットアドレス、トランザクションハッシュ、身元確認情報を提供するよう求められました。

同社は5,000件を超える申し立てへの回答の中で、影響を受けたウォレットの確認件数はかなり少ないことを踏まえると申し立てが殺到しており、重複した申し立てや偽の申し立てがある可能性が懸念されると指摘しました。

この矛盾が原因で、ブラウザ拡張機能の次回のアップデートで提供される予定だった別の検証メカニズムが作成されましたが、Chromeウェブストアの問題によって遅れました。

この事件は、暗号資産業界におけるウォレット関連の事件の増加に拍車をかけています。
業界データによると、盗難資金の割合が増加するにつれ、個人ウォレットの不正利用の割合も増加し続けています。