Trust Walletは、Chrome拡張機能へのハックに起因する2回目のShai-Huludサプライチェーン攻撃を関連付け、約850万ドルの暗号通貨が盗まれました。この事件は、ユーザーの機密ウォレットデータを抽出する悪意ある拡張機能のバージョンに関与していました。同社は侵害されたソフトウェアをロールバックし、影響を受けたユーザーに補償することを約束しました。
人気の暗号通貨ウォレットであるTrust Walletは、Shai-Hulud事件に関連する2回目のサプライチェーン攻撃の詳細を公表し、ハッカーが侵害されたChrome拡張機能を通じて約850万ドルのクリプト資産を盗んだことを確認しました。
この侵害は、2025年11月のサプライチェーン攻撃に遡り、同社の開発者GitHubシークレットが暴露されました。この漏洩により、攻撃者はブラウザ拡張機能のソースコードとChrome Web Store APIキーにアクセスできました。これらを利用して、ハッカーは内部リリース制御を回避し、2025年12月24日に改ざんされたバージョン2.68を公開しました。悪意ある拡張機能には、metrics-trustwallet.comドメインにホストされたコードが含まれ、従来のコードインジェクションなしにユーザーの機密ウォレットデータを収集するよう設計されていました。
Trust Walletのレポートに詳述されているように、「攻撃者はmetrics-trustwallet.com(およびサブドメインapi.metrics-trustwallet.com)を登録し、悪意あるコードをホストし、Trust Walletブラウザ拡張機能の悪意あるデプロイメントにそのコードへの参照を埋め込む意図がありました。」このコードはウォレット解除ごとに活性化され、すべての設定されたウォレットを通じてイテレートし、攻撃者のサーバーに送信される偽装テレメトリデータにシードフレーズを埋め込みました。
サイバーセキュリティ企業Koiはマルウェアを分析し、認証方法にかかわらずデータを抽出することを指摘しました。ドメインはIPアドレス138.124.70.40に解決され、Stark Industries Solutionsによってホストされており、ロシアのサイバー活動に関連する弾丸耐性プロバイダーです。サーバーへのクエリはDuneの引用を返し、元のShai-Hulud npm事件を参照していました。
ウォレット排水活動は2025年12月25日に表面化し、迅速な対応を促しました。研究者の0xAkinatorとZachXBTが攻撃者のウォレットを追跡する一方、Trust Walletはアラートを発行し、クリーンなバージョン2.67(2.69としてリリース)へロールバックし、DDoS攻撃を緩和しました。「12月25日、最初のウォレット排水活動が公に報告されました」とレポートは述べています。同社は安全のためサイレントアップデートを優先し、その後ユーザーにアップグレードを案内し、バージョン2.68(12月24-26日)のユーザーに資金移動を警告しました。
Trust Walletは不正な公開アクセスを無効化し、ブロックチェーン分析企業と連携して盗まれた資金を追跡し、補償を約束しました。バージョン2.70には検証ツールが予定されており、セキュリティ強化のための調査が継続中です。
