トラストウォレット(Trust Wallet)のChrome拡張機能に関する事件で26日、その余波が拡大した。チャンポン・ジャオ(CZ)氏が公に見解を示し、内部関係者が関与した可能性を指摘した。
このコメントは、Trust Walletが現時点で約700万ドル相当のユーザー資産が影響を受けたと認めたタイミングで出された。
Sponsored内部関係者の関与に捜査の焦点
チャンポン・ジャオ氏は、Trust Walletが影響を受けたユーザーに全額補償すると強調し、顧客資産は安全だと述べた。
一方で同氏は、なぜ悪意ある拡張機能のアップデートが配布管理を通過したのか、調査が続いていると述べ、内部犯行の可能性が「最も高い」と指摘した。
この発言により、外部からの攻撃だけでなく、社内アクセスと更新ガバナンスへの懸念が高まった。
Trust Walletはその後、今回の事件はBrowser Extension バージョン2.68のみに影響し、モバイルユーザーやその他のバージョンには影響がなかったと改めて説明した。
Sponsored Sponsored同社は補償手続きの最終調整を進めており、該当ユーザー向けに明確な案内を出すとした。
一方で、ユーザーに対しては公式サポートを装うフィッシング詐欺に警戒するよう呼び掛けている。
内部関与の疑いは、暗号資産のセキュリティ分野でも特に注目を集めている。ブラウザ拡張の更新には署名鍵や開発者認証、承認ワークフローが必要となる。
Sponsored Sponsored正規のChromeウェブストアを通じて悪意あるビルドが配布された場合、調査は通常、認証情報の流出または直接的な内部アクセスを検証する。
いずれの場合も、従来型のソフトウェアの脆弱性ではなく運用面のセキュリティの甘さが問題となる。
こうしたリスクは理論上の話ではない。過去1年間で複数の大規模なブラウザ拡張機能の事件が発生し、開発者アカウントの乗っ取りやリリースパイプラインの侵害が原因となった。
SponsoredTWTトークン一時下落も反発
市場は不透明感を反映した。Trust Walletの独自トークンTWTは、12月25日の初報後に急落した。
しかし、損失が限定的で補償が行われることが確認されたため、12月26日に価格は安定し反発した。
Trust Walletは早急に事態収束に動いたが、今回の件は業界全体の課題を浮き彫りにした。
暗号資産ウォレットがますますブラウザ拡張に依存するなか、更新の安全性や内部リスク管理は副次的な問題ではなく、重要な攻撃対象領域となっている。
