Trust Wallet拡張機能の大規模ハッキング事件、補償審査で虚偽請求が浮上｜約5,000件の申請中2,600件のみが正当被害と判定

補償請求の信憑性問題が表面化

自己管理型ウォレット「Trust Wallet」が直面する補償対応で、新たな課題が明らかになりました。CEOのイーウィン・チェン氏の発表によると、12月25日に発生したブラウザ拡張機能への悪意あるコード混入事件に関して、受け付けた補償請求が約5,000件に上る一方で、実際の被害ウォレット数は2,596件に留まっています。

この大きな乖離について、チェン氏は「虚偽申請または重複申請が大量に含まれている可能性が高い」とコメント。同社はスピードより正確性を優先する方針を打ち出し、厳格な検証プロセスを導入 して正当な被害者のみを補償対象とする方向で対応を進めています。

技術的フォレンジックで被害者を特定

トラストウォレットのチームは現在、複雑な検証作業を展開中です。同社が採用する識別方法は、トランザクション履歴、拡張機能のバージョン情報、ウォレット所有権の証明など複数のデータポイントを組み合わせたもの。チェン氏は攻撃者がトラストウォレットのソースコードを深く理解していた形跡があることも指摘しており、技術的フォレンジック調査も並行して実施されています。

被害総額は約700万ドル（約11億円）と推定 されており、親会社の関係者やチャンポン・ジャオ氏らも正当な被害についての全額補償を表明しています。ただし、同社は意図的に払い戻し処理を段階的に進める方針を明確にしており、偽請求者への資金流出を防ぐ体制を整備しています。

セキュリティ脅威の実態

問題のハッキング被害は、Chromeブラウザ拡張機能（バージョン2.68）に仕込まれた悪意あるコードが原因。仮想通貨リサーチャーによる指摘を受けて、同社は修正版（バージョン2.69）を緊急リリースし、ユーザーに拡張機能の無効化を推奨しました。

重要な点として、モバイルアプリおよび他のブラウザ版拡張機能には影響がない ことが確認されています。同社は被害拡大防止に向けて迅速に対応し、12月27日には公式サポートポータルで被害者申請の受け付けを正式に開始しました。

フィッシング詐欺への警戒呼びかけ

補償手続きの開始に伴い、新たなリスクも浮上しています。詐欺師が補償名目で不審なフォームへの入力を促すフィッシング詐欺を仕掛ける動きが確認されており、トラストウォレットは公式サポートページ以外の案内には応じないよう注意を喚起しています。

被害ユーザーが補償申請する際は、メールアドレス、ウォレットアドレス、攻撃者の受取先アドレスなどの情報を専用フォームから提出する必要があります。

自己管理型ウォレット業界全体への警告

今回の事件は、自己管理型ウォレットのアキレス腱を露呈させました。ブラウザ拡張型ウォレットが普及する中、ソフトウェア更新配信経路（サプライチェーン）が新たな攻撃の入口となり得るリスクが指摘されています。

業界関係者からは、「ユーザーが秘密鍵を保持する自己管理型ウォレットであってしても、アプリ配布やソフト更新に中央集権的な依存が残っている」という見方が示されています。専門家は再現可能なビルドの活用、整合性チェックの強化、アップデート配信の分散化が信頼性向上に不可欠だと指摘しており、業界全体でセキュリティ基準の見直しが急務となっています。

同社の対応は、暗号資産ウォレット業界における補償体制とセキュリティ検証方法のあり方に重要な前例を作ることになりそうです。