トラストウォレット、不正拡張機能被害で5,000件の補償請求｜不整合多発で厳格検証へ

虚偽・重複の補償請求が多数判明

自己管理型ウォレット「Trust Wallet（トラストウォレット）」のCEOであるイーウィン・チェン氏は2025年12月29日、ブラウザ拡張機能が悪用されたハッキング被害に関して、補償請求件数が約5,000件と実際の被害ウォレット数2,596件を大きく上回っていることを明らかにしました。

この大幅な差について、チェン氏は「虚偽または重複する申請が多数含まれている可能性が高い」と指摘しており、トラストウォレットは正当な被害のみを補償対象とすべく厳格な検証プロセスを実施すると報告しています。

このハッキング被害は12月25日に発生したもので、トラストウォレットの内部推計では最終的な被害総額が約700万ドル（約11億円）に上るとされています。

Trust Wallet拡張機能流出事件と補償対応の進展

不正コード混入によるウォレット流出問題

今回の被害では、トラストウォレットのChromeブラウザ拡張（バージョン2.68）に悪意あるコードが仕込まれ、ユーザーのウォレットから仮想通貨（暗号資産）が不正に流出する被害が発生しました。

この脆弱性は仮想通貨リサーチャーのZachXBT氏が指摘し、同社は直ちに被害拡大防止に動きました。

同社は問題を修正した拡張機能バージョン2.69を緊急リリースし、ユーザーに対して拡張機能を無効化するよう勧告しました。なお、モバイルアプリや他のブラウザ版拡張には影響が及んでいないと報告されています。

トラストウォレットの補償方針と申請受付の開始

トラストウォレットは被害発覚直後から補償対応の準備を進め、12月27日には公式サポートポータル上で被害者救済のための申請受付を正式に開始しました。

被害ユーザーは、メールアドレスやウォレットアドレス、攻撃者の受取先など必要情報を専用フォームから提出する必要があります。

同社は全ての正当な被害について必ず補償する方針を表明しており、親会社であるBinance（バイナンス）創業者のチャンポン・ジャオ（CZ）氏も、X上で今回の損失額はトラストウォレットが全額カバーすると明言しています。

なお、同社は補償手続きに便乗したフィッシング詐欺にも注意を促しており、公式サポートページ以外で案内される不審な補償申請フォームには応じないよう呼びかけています。

真の被害者特定に向けた検証プロセス

現在、トラストウォレットのチームは補償請求の検証作業を進めています。

チェン氏によれば、トランザクション履歴や拡張機能バージョン、ウォレット所有証明など複数のデータポイントを組み合わせることで真の被害者と悪意ある申請者を識別しているといいます。

同社は補償対応においてスピードより正確さを優先する方針を明確にしており、偽請求による不正受給を防ぐため意図的に払い戻し処理のペースを落としていると報告しています。

また、技術的なフォレンジック調査も並行して進められており、チェン氏は攻撃者がトラストウォレットのソースコードを深く理解していた痕跡があることを明らかにしました。

内部関与の有無も精査されていますが、現時点でその証拠は確認されておらず、調査は外部専門家の協力も得ながら包括的に継続中と報じられています。

自己管理型ウォレットに突き付けられた課題

今回の事件をきっかけに、自己管理型ウォレットにおけるソフトウェア更新方法に潜むリスクへの懸念が高まっています。

ブラウザ拡張型ウォレットが普及する中、アップデート配信経路（サプライチェーン）が新たな攻撃経路となり得るとの指摘があります。

実際、他ウォレット事業者からは、自己管理型ウォレットであってもソフト配布や更新の仕組みに中央集権的な依存が残るとの見方も示されました。

Bitget Wallet社のCMOであるジェイミー・エルカレ氏は「ユーザーが秘密鍵を保持する自己管理型ウォレットにも、アプリ配布やソフト更新に単一点の障害が潜んでいる」と述べています。

また同氏は「ソフトの信頼性を高めるには、再現可能なビルドの活用や整合性チェックの強化、アップデート配信の分散化が必要だ」ともコメントしています。

※価格は執筆時点でのレート換算（1ドル=156.24 円）

>>最新の仮想通貨ニュースはこちら

Source：イーウィン・チェン氏X投稿
サムネイル：Shutterstockのライセンス許諾により使用