トラストウォレットで数百人規模の不正送金被害
著名な仮想通貨リサーチャーのZachXBT氏は2025年12月26日、自身のX(旧Twitter)で、人気の自己管理型ウォレット「Trust Wallet(トラストウォレット)」のユーザー数百人から資金が無断流出し、被害総額は少なくとも600万ドル(約9.4億円)に上ると報告しました。
同氏によれば、この不正流出はトラストウォレットのGoogle Chrome拡張機能を更新した直後に発生したとされ、ビットコイン(BTC)やEVM(イーサリアム仮想マシン)互換チェーン、ソラナ(SOL)など複数チェーンで、利用者の資産が移動した可能性が指摘されています。
トラストウォレットも、ブラウザ拡張機能に関するセキュリティインシデントについて言及しました。
公式Xの投稿では「ブラウザ拡張機能のバージョン2.68に影響がある」とし、当該バージョンを使用するユーザーに対し、ただちに拡張機能を無効化し、最新版の2.69にアップデートするよう呼びかけています。
また同社は「モバイルアプリ利用者および他の拡張機能バージョンには影響は及んでおらず、原因については現在チームが調査を進めている」と説明しています。
We’ve identified a security incident affecting Trust Wallet Browser Extension version 2.68 only. Users with Browser Extension 2.68 should disable and upgrade to 2.69.
Please refer to the official Chrome Webstore link here: https://t.co/V3vMq31TKb
Please note: Mobile-only users…
— Trust Wallet (@TrustWallet) December 25, 2025
(前略)ブラウザ拡張機能「バージョン2.68」を利用しているユーザーは直ちに無効化し、「バージョン2.69」へアップデートしてください。
公式のChromeウェブストアのリンクはこちらです。
https://chrome.google.com/webstore/detail/trust-wallet/egjidjbpglichdcondbcbdnbeeppgdphなお、モバイル版のみを利用しているユーザー、および それ以外のブラウザ拡張機能バージョンは影響を受けていません。
本件は非常に重大な問題であると認識しており、現在チームが全力で対応を進めています。進展があり次第、速やかに最新情報を共有します。
Balancerで1億ドル超が流出
Trust Wallet不正送金で露呈した拡張機能のリスク
複数チェーンに及んだTrust Wallet不正送金の状況
今回の不正送金については、EVM互換チェーン上のアドレスやビットコインアドレス、ソラナアドレスが関連するとされ、複数のブロックチェーンにまたがる形で資産が移動したことが報告されています。
専門家の間では以前から、ブラウザ拡張型の仮想通貨(暗号資産)ウォレットはモバイルアプリ等に比べシステム権限が広く、アップデートの改ざんなどサプライチェーン攻撃に対する脆弱性が高いと指摘がなされてきました。
今回のトラストウォレット拡張機能の問題についても、ブラウザ拡張型ウォレットに指摘されてきたリスクが表面化した事例と受け止められています。
拡張機能v2.68に限定された影響範囲
トラストウォレットは公式Xで「ブラウザ拡張版Trust Wallet v2.68のみが影響を受けた」と明言し、該当するユーザーに向けて当面は拡張機能を無効化した上で最新版へのアップデートを行うよう注意喚起しています。
アナウンスでは、Chromeウェブストア上の公式リンクも示されており、ユーザーが偽サイトではなく正規の経路からソフトウェアを更新するよう配慮がなされています。
また、モバイル専用のアプリ利用者や、影響バージョン以外の拡張機能利用者には被害が及んでいないことも強調されています。
一方で、現時点では具体的な脆弱性の技術的原因は公表されておらず、Trust Walletチームは「引き続き調査を進め、判明次第できる限り速やかに情報共有する」としています。
なお、ZachXBT氏は「原因が拡張機能側に起因すると判明した場合に、全ユーザーへの補償が行われることを望む」と述べています。
2025年の盗難総額「5,300億円超」
拡大する仮想通貨の不正送金被害と業界全体への影響
2025年に過去最大となった仮想通貨盗難被害
近年、仮想通貨を巡るハッキング被害が拡大しており、今回のTrust Walletの不正流出も関連事例として位置付けられています。
ブロックチェーン分析企業のデータによると、2025年にサイバー犯罪者が窃取した仮想通貨は全世界で合計27億ドル(約4,200億円)に達し、過去最高額を更新しました。
中でも最大の事件は2月に発生したドバイ拠点の大手仮想通貨取引所Bybit(バイビット)からの約14億ドル(約2,100億円)相当の流出であり、複数の調査機関やFBI(米連邦捜査局)は北朝鮮政府系のハッカー集団が関与した可能性を指摘しています。
実際、2025年に盗まれた仮想通貨の少なくとも20億ドル以上は北朝鮮関連のハッカーによるものと推計されており、国家支援が疑われるサイバー窃盗の存在が指摘されています。
また2025年には、Bybit以外にもDEX(分散型取引所)Cetusの2億2,300万ドル(約350億円)規模の流出や、イーサリアム系プロトコルBalancerの1億2,800万ドル(約200億円)規模のハッキング被害など、大型の盗難事件が報告されています。
利用者と開発元に求められるセキュリティ対策
こうした状況を受け、専門家は改めて「利用者自身による資産管理の強化」と「開発元によるセキュリティ対策の徹底」の双方が急務であると警鐘を鳴らしています。
今後も仮想通貨の自己管理型ウォレットやブラウザ拡張機能を利用する際には、公式情報の確認やソフトウェア更新の徹底、不審な取引の監視などが求められます。
※価格は執筆時点でのレート換算(1ドル=156.32 円)
ハッキング・盗難関連の注目記事は
Source:ZachXBT氏テレグラム / ZachXBT氏X / Trust Wallet公式X
サムネイル:AIによる生成画像
