トラストウォレット補償混乱、真の被害者特定に課題｜不正請求5,000件が判明

補償請求と実被害のギャップが浮き彫りに

自己管理型ウォレット「トラストウォレット」が直面する予期せぬ課題が明るみに出ました。同社CEOイーウィン・チェン氏の発表によると、12月25日に発生したブラウザ拡張機能を悪用したハッキング事件の補償請求件数が約5,000件に達している一方で、実際の被害ウォレット数は2,596件に留まっているとのこと。この2倍を超える乖離について、チェン氏は虚偽申請や重複登録が多数含まれている可能性を指摘。トラストウォレットは被害の真正性を厳格に検証する新プロセスを導入することで、補償の信頼性確保に乗り出しました。

今回のセキュリティ侵害による総被害額は約700万ドル（約11億円）と推計されており、正当な被害者への全額補償方針は既に表明されています。

被害の実相：不正コード混入による資産流出

事件の直接的な原因は、トラストウォレットのChrome拡張機能バージョン2.68に悪意あるコードが埋め込まれたことでした。攻撃者はこの脆弱性を悪用し、ユーザーの仮想通貨を不正に送金させることに成功。この異常を指摘したのは仮想通貨セキュリティリサーチャーのZachXBT氏で、同社はただちに被害拡大防止の対応を開始しました。

重要な点として、モバイルアプリおよびその他ブラウザ拡張には影響が及んでいないという情報が確認されています。同社は修正版のバージョン2.69を緊急公開し、ユーザーに拡張機能の無効化を推奨しました。

補償対応の進捗と検証の厳格化

12月27日、トラストウォレットは公式サポートポータルで被害者向けの補償申請窓口をオープンしました。申請者はメールアドレス、ウォレットアドレス、攻撃者の受け取り先アドレスなど必要情報を専用フォーム経由で提出する仕組みです。

同社の親会社である大手取引所の創業者チャンポン・ジャオ氏は、今回の損失全額を同社が負担することをX上で明言。一方で同社は、補償手続きに便乗したフィッシング詐欺にも警戒を呼びかけており、公式サポートページ以外で案内される補償フォームへの応じないよう注意を促しています。

検証プロセスの強化：真の被害者の特定へ

トラストウォレット検証チームは現在、大量の補償請求内容を精査中です。チェン氏の説明では、トランザクション履歴、拡張機能バージョン情報、ウォレット所有権の証明といった複数データポイントを組み合わせることで、真正な被害者と悪質な申請者を識別しているとのこと。

同社は補償スピードより検証精度を優先する戦略を明確に表示しており、不正受給を防ぐため払い戻し処理のペースを意図的に調整していると報告しています。

同時に進行している技術フォレンジック調査では、攻撃者がトラストウォレットのソースコード構造に深い知見を持っていた痕跡が発見されています。内部関与の可能性についても調査中ですが、現段階では決定的な証拠は確認されておらず、外部専門家の協力を得ながら包括的に捜査が継続中です。

自己管理型ウォレットの根本的な脆弱性

今回の事件は、自己管理型ウォレットというコンセプト自体の潜在的リスクを露呈させました。特にブラウザ拡張型の普及に伴い、ソフトウェア更新配信経路（サプライチェーン）が新たな攻撃対象となり得ることが業界で認識され始めています。

複数のウォレット事業者からは、ユーザーが秘密鍵を管理する自己管理型であっても、アプリ配布やソフト更新メカニズムには中央集権的な依存が残るとの見方が示されています。業界関係者は「ユーザーが秘密鍵を保持する自己管理型ウォレットにおいても、単一点の障害がアプリ配布やソフト更新に潜んでいる可能性がある」と指摘し、信頼性向上には再現可能なビルド方式の採用、整合性チェックの強化、アップデート配信の分散化が必要だと提言しています。

この視点は、自己管理型ウォレット市場全体にセキュリティ意識の転換を迫るものとなっています。

※価格は執筆時点でのレート換算（1ドル=156.24円）