トラストウォレット、ハッキング被害を全額補償…CZ "資産は安全だ"

バイナンス創業者のチャン・ポンジャオ(CZ)が所有する仮想資産（暗号資産）ウォレットサービス「トラストウォレット(Trust Wallet)」は、25日に発生したハッキング被害額約700万ドルを全額補償することにした。

26日（現地時間）、トラストウォレットとセキュリティ企業SlowMistによれば、今回のハッキングはトラストウォレットのGoogle Chromeブラウザ拡張機能バージョン2.68を標的とした「サプライチェーン攻撃」であることが確認された。

ハッカーはオープンソースの分析ライブラリであるポストホグ(posthog-js)を悪用し、正規の分析ロジックであるかのように偽装した上で、悪意のあるコードを組み込んだアップデートを配布した。該当バージョン(2.68)をインストールしたユーザーがウォレットに接続すると、バックグラウンドでシードフレーズを傍受してハッカーのサーバーへ送信する方式だった。

その結果、約300万ドル相当のビットコイン(BTC)と300万ドル規模のイーサリアム(ETH)、および多数のソラナ(SOL)やEVM互換トークンが窃取された。全体の被害規模は約700万ドルと推定される。

被害が拡大したため、CZは当日自身のXで「ユーザーの資産は安全だ」と述べ、「トラストウォレットは今回のハッキングによるすべての損失を全額補償する」と表明した。続けて「現在、被害を受けたすべてのユーザーが完全に補償されるよう手続きを完了させている」と付け加えた。

一方、トラストウォレット側は直ちに悪意のあるコードを除去したバージョン2.69を配布し、デスクトップ拡張機能のユーザーに対して即時のアップデートを強く推奨した。また、Bitget、KuCoin、ChangeNOWなど主要取引所と協力してハッカーが窃取資金を現金化できないように凍結措置を講じた。