Binance傘下のTrust Wallet、約11億円が不正流出

暗号資産(仮想通貨)ウォレット「Trust Wallet(トラスト・ウォレット)」のChromeブラウザ拡張機能において、特定バージョンを利用していたユーザーの資産が不正に流出するセキュリティインシデントが発生した。

被害総額は700万ドル(約11億円、1ドル=156円換算)に達し、数百人規模のユーザーが影響を受けたとみられている。トラスト・ウォレットは問題のバージョンを特定し、早急なアップデートを呼びかけるとともに、被害ユーザーへの全額返金を正式に約束した。

アップデート直後に発覚、オンチェーン調査が端緒に

問題が明るみに出たのは12月25日。オンチェーン調査で知られるZachXBTがTelegram上でコミュニティ向けに警告を発したことがきっかけだった。短時間のうちに複数のトラスト・ウォレットユーザーから、ウォレット内の資金が不正に移動されたとの報告が相次いだという。

ZachXBTは投稿の中で、「正確な原因はまだ特定できていない」としながらも、前日にトラスト・ウォレットのChrome拡張機能が更新されていた事実に言及し、時間的な一致を指摘した。この警告を受け、トラスト・ウォレット側も調査を進め、影響がブラウザ拡張機能の特定バージョン(v2.68)に限定されていることを確認した。

トラスト・ウォレットはXで次のように公式声明を発表した

「トラスト・ウォレットのブラウザ拡張機能バージョン2.68のみに影響するセキュリティインシデントを確認しました。v2.68をご利用のユーザーは、拡張機能を無効化し、v2.69へアップグレードしてください」。

さらに、影響範囲についても明確に説明している。

「モバイル版のみを利用しているユーザー、および他のすべてのブラウザ拡張機能バージョンは影響を受けていません」。

同社は、該当バージョンを使用している場合、アップデートが完了するまで拡張機能を開かないことが、追加被害を防ぐ上で重要だと強調した。

返金手続き、進行中

オンチェーン上の盗難アドレスを基にしたZachXBTの初期分析では、流出額は600万ドル超とされていたが、その後の精査により被害はさらに拡大していることが判明した。トラスト・ウォレットは最新のX投稿で、次のように被害規模を正式に認めている。

「約700万ドル相当が影響を受けたことを確認しました。影響を受けたすべてのユーザーに返金を行います」。

また、現在は返金プロセスの最終段階にあると説明した。

「影響を受けたユーザーへの対応が最優先事項です。現在、返金手続きの最終調整を進めています。ご理解とご辛抱に感謝します。次のステップについては、まもなくご案内します」。

同時に、なりすまし詐欺への警戒も呼びかけている。

「公式チャネル以外から届くメッセージには、決して対応しないでください」。

CZも補償を明言

トラスト・ウォレットを所有する暗号資産取引所Binance(バイナンス)の創業者、Changpeng Zhao(チャンポン・ジャオ、通称:CZ)氏もXで迅速に反応し、補償方針を明確にした。

「現時点で、このハッキングによる被害額は約700万ドルです。トラスト・ウォレットが全額補償します。ユーザー資産はSAFUです。不便をおかけして申し訳ありません。ご理解に感謝します」。

「SAFU(Secure Asset Fund for Users:利用者向け安全資産基金)」は、バイナンスがこれまで繰り返し用いてきたユーザー資産保護を象徴する表現であり、今回もトラスト・ウォレット側が責任を持って対応する姿勢を強調した形だ。

現時点では、なぜ問題のある更新が公開されたのか、あるいは更新プロセス自体が侵害されたのかといった詳細は明らかになっていない。トラスト・ウォレットは引き続き、原因究明を進めているとしている。

増加する個人ウォレットの被害

今回の事件は、暗号資産業界全体で進行している深刻な傾向とも一致する。Chainalysis(チェイナリシス)のレポートによれば、2025年の1月から12月初旬までの暗号資産盗難額は約34億ドルに達し、これまでの累計被害額は約67億5000万ドルに上る。

個人ウォレットの侵害件数も2025年、前年の6万4000件から15万8000件へと急増した。金額ベースでは全体の約20%にとどまるものの、被害件数の増加は顕著だ。

|文・編集:山口晶子
|画像:Shutterstock