未分類 管理人

Trust Walletで約11億円が不正流出した事件!Tangemウォレットなら防げたのか?




Sponsored Link

Trust Walletで約11億円が不正流出した事件!Tangemウォレットなら防げたのか?

いきなり結論(最重要)

 今回の「約11億円(約700万ドル)」規模の不正流出は、Trust Walletそのもの(取引所・チェーン)が破られたというより、Trust Walletの「Chromeブラウザ拡張機能」v2.68に混入した悪意ある更新が、利用者の復元フレーズ(シード/ニーモニック)を盗み、攻撃者が“同じ財布を別端末に復元して送金した”ことが主因です。

 Trust Walletは影響範囲を拡張機能v2.68に限定し、v2.69へ更新するよう案内しています。

 

 

1. まず前提:Trust Walletは「自分で鍵を持つ財布」

 Trust Walletは非管理型(ノンカストディアル)です。つまり、

  • 運営会社があなたの資産を「預かる」のではなく

  • あなたが秘密鍵(復元フレーズ)を持つ方式です。

 

 

 ここが超重要で、復元フレーズは「暗号資産の家の“マスターキー”」です。これが漏れると、

  • パスワード変更

  • 2段階認証

  • アプリ削除
    では止まりません。攻撃者は別の端末で復元フレーズを入力し、あなたと同じ権限で送金できます。

 

 

2. 事件のタイムライン(何日何時に何が起きた?)

 細かい日時は報道ごとに表現差がありますが、全体像は次の流れです。

  1. v2.68がChrome Web Store経由で配布(悪意あるコード入り)

  2. それを更新して実際に開いたユーザーの一部で、資産が次々と流出

  3. Trust Walletが「v2.68のみ影響」と公表し、v2.69へ緊急更新

  4. 影響を受けたアドレスの特定、補償プロセス(申請・検証)の開始

 Trust Walletの公式サポートは「影響はv2.68のみ」「モバイル専用ユーザーは影響なし」「v2.69へアップデート」と明記しています。また、CEOの説明として「特定の時刻(UTC)以前に拡張を使ったユーザーが影響し得る」趣旨も報じられています。

 

 

3. 何が起きた?(“盗まれ方”を超かんたんに)

 初心者が混乱しやすいので、3つの誤解を先に潰します。

 

 

誤解A:「ウォレットは暗号化されてるから、シードは盗めないのでは?」

 “暗号化されて保存”されていても、あなたが使う瞬間(ロック解除)には復号します。悪意ある拡張は、その瞬間を狙って

  • 復号された復元フレーズを取り出す

  • あるいは復号に使う情報(パスワード等)の入力に便乗する
    ことができます。

 

 

誤解B:「自分は送金ボタンを押してないのに、なぜ送金される?」

 攻撃者が復元フレーズを入手すると、あなたの資産を攻撃者の端末で復元→送金できます。この場合、あなたの端末操作は不要です。

 

 

誤解C:「取引所がハッキングされたの?」

 今回の中心は“拡張機能”です。Trust Walletは影響が拡張v2.68に限定と説明しています。

 

 

4. 技術的な原因(でも初心者が分かる形で)

 報道によると、v2.68には保存されているウォレット群を走査し、復元フレーズを要求→復号→外部サーバーへ送信する悪意あるロジックが含まれていた可能性が指摘されています。重要ポイントはここです。

  • ブラウザ拡張は、PC上で動く「小さなアプリ」

  • 一度アップデートが配布されると、多数ユーザーが一斉に同じコードを実行する

  • そこで“鍵(復元フレーズ)”を抜かれると、被害が連鎖する

 さらに、盗難後の資金はCEXやブリッジなどを経由して動かされる傾向があり、追跡・凍結はケース次第になります。

 

 

 

5. 侵入経路の原因(なぜ悪意あるv2.68が配布できたのか)

 ここは「まだ調査中」の領域を含みます。現時点で言えるのは次の2段です。

  1. Trust Wallet/関係者は「どうやって新バージョンを提出できたのか」を調査している、と報じられています。

  2. さらにCEOの説明として、漏えいしたChrome Web StoreのAPIキーを使い、社内の通常リリース手順を迂回して公開された可能性が報じられています。

 ここから初心者向けに一言でまとめると、“配布の入口(更新の蛇口)”が乗っ取られた可能性がある、ということです。また、一部では内部関係者の関与可能性も言及されていますが、現時点では断定材料が示されたわけではありません。

 

 

6. 被害を受けた人が今すぐやること(重要:順番)

 ※以下は一般的な安全手順です。状況により最適解は変わります。

 

 

6-1. まず「自分が影響対象か」を確認

  • PCのChrome拡張がTrust Wallet v2.68だったか

  • その拡張を更新後に実際に開いた/解除した

  • 不審な送金が履歴にあるか

 公式サポートは、v2.68を使っている場合は「開かずに無効化してv2.69へ」と案内しています。

 

 

6-2. 影響が疑わしいなら「そのウォレットは捨てる」

 復元フレーズが抜かれた可能性がある以上、同じフレーズを使い続けるのは危険です。

  • 新しいウォレット(新フレーズ)を作る

  • 可能なら残高を新ウォレットへ移す

  • 既に抜かれているなら、補償窓口へ

 

 

6-3. 補償手続きは“偽物”に注意

 二次被害(偽サポート・偽フォーム)が出回るため、Trust Walletも注意喚起が引用されています。

 公式サポートの案内では、申請に本人確認書類や所有証明などを求める設計になっており、リンク先の正当性確認が最優先です。

 

 

7. 「Tangemウォレットなら防げた?」(結論と限界を両方)

結論:今回型(復元フレーズ吸い出し→乗っ取り送金)には強い

 Tangemウォレットは、秘密鍵がカードのチップ内に保存され、外部に取り出せないことを基本思想として説明しています。このため、もし資産が最初からTangemウォレット側の鍵で管理されていれば、

  • ブラウザ拡張が悪意あるコードでも

  • 「復元フレーズを抜いて別端末で復元する」攻撃は成立しにくい
    (そもそも“抜く鍵”が外に出ない設計のため)
    という意味で、防げた可能性は高いです。

 

 

ただし限界:Tangemウォレットでも残る2つのリスク

  1. 自分が騙されて署名してしまう(偽DAppで承認、悪意ある送金に同意)

  2. Tangemウォレットをシードフレーズ方式で運用し、そのフレーズをスマホ表示・保存してしまう事故
    Tangemウォレット側も、外部から持ち込む/表示するシードはコピーされ得る点を説明しています。

 要するに、Tangemウォレットは「鍵を盗まれる」型に強い一方で、「承認詐欺」「人間ミス」は別のガードが必要です。

 

 

8. 再発防止の最適解(初心者が失敗しにくい運用)

  • 長期保管はハードウェアウォレットへ(PC拡張は“使う分だけ”)

  • 復元フレーズはオフラインで保管(写真・クラウド・メモ帳はNG)

  • “補償”や“サポート”を名乗るDMは原則無視し、公式導線のみ使う

  • どうしてもブラウザ拡張を使うなら、PCをクリーンに保ち、拡張の権限・更新を最小化する

 

 

9. もう一段だけ深掘り:なぜ「パスワード」では守れなかったの?

 初心者が一番つまずくのがここです。結論は、パスワードは“金庫の鍵”ではなく、“金庫を開ける動作のための暗証番号”になりがちだからです。

  • ブラウザ拡張は、復元フレーズをそのまま平文で置くと危険なので、内部では暗号化して保存します。

  • しかし、あなたが拡張を使うには、毎回その暗号化を解いて(復号して)鍵を取り出し、署名に使う必要があります。

  • その復号に必要なのが、あなたが入力するパスワードや端末の認証情報です。

 

 

 つまり、悪意あるコードが拡張の中に入り込むと、あなたがロック解除した“まさにその瞬間”に、

  1. 復号された復元フレーズを盗む

  2. あるいは復号プロセスを悪用して盗む
    が可能になります。ここが「ソフトウェアウォレット(特にブラウザ拡張)」の構造的な弱点です。

 

 

10. よくある質問(Q&A)

Q1. 自分はスマホ版だけ。今回の被害と関係ある?

 Trust Walletの案内では、モバイル専用ユーザーは影響なしとされています。ただし、今後も同種の詐欺DMや偽フォームが出回るので、“公式以外に入力しない”は徹底してください。

 

 

Q2. v2.68じゃないのに資産が減った。今回とは別?

 可能性は2つあります。

  • ①別件(フィッシング、承認詐欺、偽アプリ、端末感染など)

  • ②過去にv2.68を一度でも使っていて、後から気付いた
    不審送金があるなら、まずは「復元フレーズが漏れた前提」で、新フレーズへ移すのが基本です。

 

 

Q3. じゃあ復元フレーズを“変更”すればいい?

 復元フレーズは原則「変更」できません。新しいウォレット(新フレーズ)を作って移すのが正攻法です。

 

 

Q4. Tangemウォレットなら“絶対”安全?

 いいえ。Tangemウォレットは鍵の持ち出し耐性が強い設計ですが、あなたが

  • 偽画面に騙されて送金を承認する

  • シードをスマホに表示してスクショ・クラウド保存してしまう
    などをすると、被害は起こり得ます。「鍵を盗まれない」と「詐欺に引っかからない」は別問題です。

 

 

Q5. “補償します”と言われた。どこに連絡すべき?

 二次被害が本当に多いので、DMのリンクは踏まないでください。注意喚起も引用されています。

 公式サポートページから辿れる導線のみを使い、本人確認書類などは「正しい窓口だと確信できる」場合にだけ提出してください。

 

 

11. 最後に(初心者が守るべき“3行”)

  1. 復元フレーズが漏れたら、その財布は終わり(新フレーズへ移す)

  2. ブラウザ拡張は便利だが攻撃面が広い(長期保管は分離)

  3. サポートを名乗るDMは基本詐欺(公式導線だけ)

 

 

補足:一言まとめ

 更新で混入した悪性コードが、解除時に復元フレーズを盗み、攻撃者が別端末で復元→送金。見た目が同じでも中身は変わります。保管と利用は分けるのが安全。

 不明な更新後は即ログインせず、公式サポートで安全情報を確認してから使う――これだけでも被害確率が下がります。焦らず確認が鉄則です。必ずね!!




RECOMMENDこちらの記事も人気です。