BlockBeatsニュース、12月26日、本日午前、ユーザー数最大の非保管型暗号ウォレット「Trust Wallet」が公式にセキュリティ警告を発し、ブラウザ拡張機能バージョン2.68にセキュリティ脆弱性が存在することを確認しました。オンチェーン捜査官ZachXBTが明らかにしたところによると、数百人のTrust Walletユーザーが資金を盗まれ、損失額は少なくとも600万ドルに上ります。Trust Walletは累計2億回以上のダウンロードを記録し、月間アクティブユーザー数は約1,700万人、市場シェアは約35%を占めており、今回のセキュリティインシデントは広範な影響を及ぼしています。主要なブラウザ拡張機能が遭遇したセキュリティインシデントのレビューは以下の通りです。
2022年11月、Trust Walletブラウザ拡張機能もWebAssemblyの脆弱性が発見されましたが、これは2022年11月14日から23日までの間に作成された新しいウォレットアドレスのみに影響を及ぼし、約17万ドルの資金盗難につながりました。Trust Walletはバグ報奨金プログラムを通じて問題を特定し、脆弱性を修正するとともに、影響を受けたユーザー全員に完全な補償を行いました。
2022年、MetaMaskは「Demonic」脆弱性の影響を受け、10.11.3以前の古いバージョンではブラウザのメモリ内で秘密鍵が露出する可能性がありましたが、大規模な資金損失は確認されていません。2023年から2025年にかけて、公式MetaMaskウォレット拡張機能自体は安全に動作していましたが、偽造拡張機能による影響を頻繁に受けました。Chainalysisの報告書によると、2025年にMetaMaskユーザー間で異常な盗難事件が急増しましたが、これは主に偽造マルウェアやフィッシングによるものであり、拡張機能ウォレット自体のセキュリティが原因ではありませんでした。MetaMaskは月次セキュリティレポートを発表していますが、人気のイーサリアム拡張機能ウォレットとして、偽造の主要な標的となっています。
Phantom(主要なSolanaウォレット拡張機能)も2022年に「Demonic」脆弱性の影響を受けましたが、同様に大規模な資金損失は確認されていません。2025年初頭、Phantomウォレット拡張機能を巡るセキュリティ論争が発生し、あるユーザーが50万ドルを失いました。これはPhantomがメモリ内で暗号化されずに秘密鍵を保存していたためハッカー攻撃を受け、ニューヨーク南部地区で集団訴訟が提起されたとされています。Phantomは公式声明を発表し、すべての主張を強く否定し、訴訟を「根拠のないもの」と呼び、Phantomは非保管型ウォレットであり、資金のセキュリティ責任はユーザーにあると強調しました。
2022年、Rabby Wallet(DeFiに親和性の高い拡張機能)は、Rabby Swapの脆弱性により約20万ドルの暗号資産が盗まれるハッキング被害を受けましたが、これは拡張機能自体ではなく、内蔵のスワップ機能に起因するものでした。
ブラウザ拡張機能ウォレットの最も一般的な盗難方法は、偽造アプリのダウンロードによるもので、2025年にはFirefoxストアに集中して複数の事例が発生し、MetaMask、Phantom、Trust Walletなどの主要な暗号拡張機能ウォレットに影響を及ぼしました。対照的に、拡張機能の公式バージョンにおける直接的な脆弱性は比較的稀です。ユーザーは資金の安全を確保するため、公式Chromeウェブストアからのみダウンロードすることをお勧めします。
