中国ハッカーグループ、ウォレットサプライチェーンを標的とした700万ドルの暗号資産窃盗作戦を漏洩

報告されたウォレットサプライチェーン暗号資産窃盗事件は、実際のTrust Walletブラウザ拡張機能の侵害に遡ることが判明したが、最も強力な公的証拠は、中国関連のハッカーグループや別のリーク事件を裏付けるものではない。確認されたのは、悪意のあるTrust Wallet拡張機能のリリースが短い休暇期間中にユーザーを危険にさらし、信頼されたソフトウェアアップデートの経路がどのように窃盗チャネルに変わり得るかを示したことである。

Trust Walletのセキュリティー通知とその後のコミュニティアップデートによると、2025/12/24にChrome Web Storeに不正なバージョン2.68ブラウザ拡張機能が公開された。同社は、12月24日から26日の間にそのバージョンを開いてログインしたユーザーのみが影響を受けたと述べた。

これが重要なのは、サプライチェーン攻撃が偽のメールや悪質なリンクでユーザーを騙すのではなく、人々がすでに信頼しているソフトウェアを標的にするためである。簡単に言えば、古典的なフィッシング詐欺よりも、改ざんされた銀行アプリのアップデートに近い。

窃盗作戦について実際に確認されたこと

Trust Walletは、2,520の影響を受けたウォレットアドレスと、攻撃者が管理する17のアドレスに関連する約850万ドルの影響を受けた資産を特定したと述べた。この数字は、一部の初期報告で引用された約700万ドルよりも高く、最終的な公的損害推定値は、どの情報源と日付が使用されるかに依然として依存することを意味する。

SlowMistのインシデント分析によると、悪意のあるコードは、ユーザーが拡張機能のロックを解除した後、暗号資産ウォレットを制御する秘密の回復ワードであるシードフレーズを捕捉した。セキュリティー企業は、初期損失を約33 BTCに加えてイーサリアムブロックチェーンとレイヤー2ネットワーク上で約300万ドルと推定し、公開時点での初期合計を約600万ドルとした。

SlowMistはまた、「これはプロフェッショナルなAPTレベルの攻撃であると信じる強い理由がある」と述べた。これは高度に組織化された作戦を指すが、中国関連グループへの公的帰属とは異なり、利用可能な情報源セットはそのような飛躍をしていない。

Trust Walletは、公開経路を漏洩したChrome Web Store APIキーと、2025年11月のSha1-Huludサプライチェーンインシデントに関連する露出したGitHub開発者シークレットに関連付けた。このリンクは、最も重要な検証済みの詳細の1つである。なぜなら、ユーザーが悪質な拡張機能をダウンロードする前に、侵害が上流で始まった可能性を示唆しているからである。

ウォレットサプライチェーン攻撃が直接的なウォレットハッキングと異なる理由

直接的なウォレットハッキングは通常、フィッシング、マルウェア、または盗まれたパスワードを通じて一度に1人のユーザーを標的にする。ウォレットサプライチェーン攻撃は、ソフトウェアベンダー、アップデートチャネル、または配布プロセスを標的にし、一度に多くのユーザーを危険にさらす可能性がある。

そのため、このケースは通常の窃盗報告よりも広範な懸念を引き起こしている。悪意のある行為者が公式のブラウザ拡張機能リストに悪意のあるコードを忍び込ませることができれば、慎重なユーザーでも、資金がすでに失われるまで何か問題があることに気付かない可能性がある。

より広範な暗号資産業界は、これを主要なリスク領域として扱う理由がすでにある。CertiKの2025年Web3セキュリティーレポートによると、サプライチェーン攻撃は今年最もコストのかかる攻撃ベクトルであり、2つのインシデントで約14.5億ドルが失われた。

coinlineup.comで他のインフラリスクを追ってきた読者は、ムーディーズの警告に関連するビットコイン半減期報道のマクロストレスや、暗号資産の強制決済イベントにおける突然のレバレッジショックなど、さまざまな形で同じパターンを見てきた。共通のテーマは、市場インフラへの信頼が価格チャートと同じくらい重要であるということである。

これがウォレットプロバイダーと一般ユーザーにとって何を意味するか

ウォレットプロバイダーにとって、このインシデントはアプリストアの公開管理を強化し、認証情報を迅速にローテーションし、開発者シークレットをより積極的に隔離するプレッシャーを高める。ユーザーにとって、実用的な教訓はシンプルである。信頼されたブランドからのアップデートでも、異常なプロンプト、拡張機能の動作、またはログインフローが表示される場合は精査が必要である。

Trust Walletの対応は、払い戻しとクリーンアップに焦点を当てた。Cointelegraphの報道によると、バイナンスの元CEOとしてよく知られているChangpeng Zhao(通称CZ)は、クリスマスデーの悪用後、Trust Walletが約700万ドルのユーザー損失をカバーすると述べたが、Trust Walletの後の会計では、影響を受けた資産は850万ドルに近いとされた。

市場の状況は依然として複雑である。調査ブリーフには0.530464のスポット価格の読み取りが含まれていたが、明確な取引反応を証明するのに十分な検証済みの24時間の動き、時価総額、または取引高 (USDT)データはないため、より大きな市場効果は明らかな価格ショックではなく、信頼の損傷であるように見える。

この信頼の問題は、1つのウォレットブランドを超えて重要である。暗号資産企業が、Rippleのブラジル拡大ストーリーに記載されているより広範な製品とライセンス推進を含む新しい市場に拡大するにつれて、ユーザーはより多くのソフトウェア、より多くの統合、およびより多くのサードパーティインフラを信頼するよう求められている。

限定的な結論は、元の見出しの中国帰属が証明されたということではない。検証されたTrust Walletのケースが、ウォレットサプライチェーンの侵害がどれほど損害を与える可能性があるかを示し、ウォレット会社と日常的な保有者の両方がブラウザ拡張機能、アップデート、および回復フレーズを重要なセキュリティーポイントとして扱う必要がある理由を示しているということである。

免責事項:この記事は情報提供のみを目的としており、財務アドバイスではありません。

免責事項:この記事は情報提供のみを目的としており、財務または投資アドバイスを構成するものではありません。暗号資産とデジタル資産市場には重大なリスクが伴います。決定を下す前に、常に独自の調査を行ってください。