アクティブなクロスチェーン攻撃により数百の暗号資産ウォレットから10万7,000ドル以上が流出

クイックブレイクダウン 

• 現在進行中のクロスチェーンエクスプロイトにより、EVM互換ブロックチェーン全体で数百のウォレットから10万7,000ドル以上が流出
• 攻撃者は、多くの小規模ウォレットを標的にしており、アドレスポイズニングやキー漏洩に近い手口を使用
• 最近の侵害事例は、暗号資産における最大の脅威がスマートコントラクトから人間層のセキュリティへと移行していることを示している

 

現在進行中のクロスチェーンエクスプロイトにより、複数のEVM互換ブロックチェーンにわたって数百の暗号資産ウォレットから資金が流出しており、総被害額はすでに107,000ドルを超え、今も増加中です。

ブロックチェーン調査員のZachXBTは金曜日の早朝に警鐘を鳴らし、個々の損失は比較的少なく、多くの場合ウォレットごとに2,000ドル未満ですが、攻撃の規模と組織化された動きは、はるかに深刻な根本的脅威を示唆していると述べました。

これまでに分かっていること

ZachXBTによると、このエクスプロイトは現在進行中の窃盗と関連があると考えられる不審なウォレットアドレス（0xAc29bFB*）に関係しているようです。被害者は複数のEVMチェーンに分散しており、高度に組織化されたオペレーションであることを示しています。

調査員は被害者のウォレットアドレスを積極的に収集しており、影響を受けたユーザーに対して、状況が進展する中でXを通じて直接連絡するよう呼びかけています。

攻撃者は単一の高額ウォレットを狙うのではなく、多数の小規模ウォレットから資金を抜き取ることで、即座の発覚を避けつつ静かに資金を引き出す戦略を採っています。

マルチチェーン戦略が警戒を促す

セキュリティ研究者によると、この攻撃のクロスチェーン実行は高度なインフラを示しており、脅威アクターが複数のネットワークで同時に行動できるようになっています。

このパターンは、アドレスポイズニングやプライベートキー漏洩を利用した最近の暗号資産詐欺と類似しており、攻撃者がスマートコントラクトの脆弱性ではなく、ユーザーの行動や流出した認証情報を悪用するケースです。専門家は、この分散アプローチが全体の利益を最大化し、被害者が対応するまでに攻撃者に時間を稼がせていると警告しています。

Trust Walletのハッキングが高まるセキュリティリスクを浮き彫りに

この警告は、Trust Walletのクリスマス当日の侵害が発生し、悪意あるブラウザ拡張機能のインストール後、ユーザーから約700万～850万ドルが流出した直後に出されたものです。

Trust WalletのCEO、Eowyn Chenは、技術的な問題により同社のChrome拡張機能が一時的にChrome Web Storeから削除され、被害者の認証ツールへのアクセスが遅れたことを認めました。

調査によれば、拡張機能の改ざんバージョン（v2.68）には、ユーザーのリカバリーフレーズを収集する隠しコードが含まれていました。この悪意あるリリースはChromeの審査を通過し、正規のものとして見せかけつつ、Ethereum、Bitcoin、Solanaでの資金流出を可能にしていました。

Trust Walletは、この事件を「Sha1-Hulud」と呼ばれる広範なサプライチェーン攻撃に起因すると特定しました。この攻撃はGitHubのシークレット漏洩と、侵害されたChrome Web StoreのAPIキーを悪用し、社内の承認システムを完全に迂回していました。