Trust Wallet(トラストウォレット)のトークン残高表示バグの最新情報

2025年12月に発生した、バイナンス傘下の仮想通貨ウォレット「Trust Wallet（トラストウォレット）」における重大なセキュリティインシデントは、世界中のユーザーにとって深刻な影響を及ぼしました。このインシデントの核心には、ユーザーの資産残高が正しく表示されないという技術的なバグが存在し、その影響範囲と対応策について、本稿では詳細に解説いたします。

インシデントの概要: 脆弱性の悪用とマルウェアの配布

2025年11月、複数のNPMソフトウェアパッケージが標的となり、悪意のあるコードが注入されるサプライチェーン攻撃が発生しました。この攻撃により、Trust Walletの開発者グループのGitHubアカウントの認証情報を流出させ、開発者の秘密鍵が不正に取得されました。この重大な漏洩は、後に直接的な被害を引き起こす原因となりました。

攻撃者は、流出した開発者キーを活用して、Google Chrome Web Store (CWS) の公式アプリケーション発行プロセスへのアクセス権を獲得しました。これにより、通常は開発チームによる厳格な審査を経る必要がある拡張機能の更新を、開発チームの承認なしに強制的にアップロードすることができました。この手法は、信頼されたプラットフォームを悪用する非常に巧妙な攻撃であり、ユーザーの信頼を裏切るものでした。

悪意ある拡張機能の展開と残高表示バグの発生

2025年12月25日ごろ、攻撃者は新しいドメイン「metrics.trustwallet.com」を登録し、このドメイン上で悪意あるコードをホストしました。このドメインは、本来のTrust Walletの監視や分析サービスとは無関係なもので、ユーザーの端末に悪意あるコードをダウンロードさせるためのフィルターとして機能していました。

攻撃者は、流出した初期バージョンのソースコードを利用して、自身で新たなバージョンのTrust Wallet拡張機能を再構築（ビルド）しました。この再構築されたバージョンには、後門（バックドア）が組み込まれており、ユーザーのウォレットの秘密鍵や助記語を盗み出す機能が含まれていました。さらに、この悪意あるバージョンは、ユーザーインターフェース上での「トークン残高」の表示を操作する能力も持っていました。

具体的には、ユーザーがウォレットを開いた際、実際の残高よりも大幅に高い金額を表示することで、ユーザーに誤った安心感を与え、資金の移動を促す心理的圧力をかけることが目的でした。この「偽の残高表示」という特徴的なバグは、攻撃者がユーザーの資産を遠隔から操作するための重要なステップであり、多くのユーザーがこの詐欺的手法に騙されることになりました。

インシデントの発覚と迅速な対応

2025年12月25日（クリスマス当日）、最初の不審なウォレットの不正利用が報告されました。著名なセキュリティ研究者である0xAkinator氏とZachXBT氏が、異常な取引パターンを検出し、その調査を通じて攻撃者のウォレットアドレスを特定しました。彼らの迅速な行動は、攻撃の早期発見と拡大防止に大きく貢献しました。

Trust Walletの運営チームおよびそのパートナー企業のHashdit社は、内部システムからの複数の警告信号を受けて、緊急対応を開始しました。攻撃者のコントロール下にある悪意あるサーバーに対して、白帽ハッカーたちが積極的にDDoS攻撃を実施し、そのサーバーの稼働を妨害することで、ユーザーが悪意ある拡張機能をインストールするのを阻止する試みが行われました。この戦略的な干渉は、被害の拡大を食い止める重要な一歩となりました。

最終的に、開発チームは完全に信頼できる「クリーンな」バージョンのTrust Wallet拡張機能を回復し、Google Chrome Web Storeを通じてユーザーに即時配信しました。このバージョンは、v2.69としてリリースされ、悪意あるバージョンとの差異を明確に示すとともに、すべてのユーザーに安全な環境を提供することを目指しました。

影響の規模と被害状況

本インシデントの影響を受けたユーザー数は、2025年12月29日に公開された公式発表により、約2,596個のウォレットアドレスが確認されています。これは、一部のユーザーがすでに資産を失っていることを意味しており、被害の深刻さを物語っています。

攻撃者は、複数のウォレットアドレスの助記語を事前に取得していたことから、被害の発生が2025年12月25日以降に集中しました。特に、クリスマス期間中という、ユーザーの警戒心が緩む時期に攻撃が実行された点が、攻撃成功の要因の一つです。また、一部の資金は攻撃者が洗浄（マネーロンダリング）する前に、リアルタイムで凍結された可能性があるため、被害額の全額が確定しているわけではありません。

今後の展望とユーザーへの注意喚起

本件は、仮想通貨ウォレットの安全性に対する根本的な課題を浮き彫りにしました。サプライチェーン攻撃は、開発者の内部プロセスの脆弱性を利用し、ユーザーの信頼を裏切る形で発生します。Trust Walletの運営チームは、今回の教訓を踏まえ、開発プロセスの強化、二段階認証（2FA）の徹底、さらには外部セキュリティベンダーとの連携を強化する方針を示しています。

ユーザーの皆様におかれましては、以下の点に十分ご注意ください：

• Trust Walletの拡張機能は、公式のGoogle Chrome Web Storeからのみダウンロードしてください。第三者のサイトやメールリンクからインストールしないようにしましょう。
• 拡張機能の更新通知が届いた場合、すぐに更新を行うのではなく、その内容や発行元を慎重に確認してください。公式ページの更新履歴をチェックすることが重要です。
• ウォレット内の残高表示に疑問を感じたら、直ちにそのウォレットを使用を停止し、信頼できる別のウォレットアプリで残高を確認するなど、多重確認を行う習慣を身につけましょう。
• 定期的にウォレットの設定を確認し、不要な拡張機能やアプリケーションを削除してください。不要なアクセス権限は、リスクを増大させる要因となります。

まとめ

Trust Walletにおけるトークン残高表示バグに関するインシデントは、技術的な脆弱性と人間の心理を巧みに利用した高度なサイバー攻撃の典型例です。この事件は、仮想通貨の未来を担うユーザー一人ひとりが、自身の資産を守るために必要な知識と注意深さを持つ必要性を強く訴えています。開発チームの迅速な対応とコミュニティの協力によって、大きな被害の拡大は防がれましたが、その教訓はこれからも長く忘れられないものとなるでしょう。ユーザーの皆様は、常に自己責任の精神を念頭に置き、安全な運用を心がけてください。仮想通貨の世界において、最も貴重な資産は、あなたの知恵と警戒心です。