Chrome拡張の脆弱性で被害、Trust Walletがユーザー補償
Trust Walletによれば、過去のサプライチェーン攻撃に関連するv2.68拡張機能の侵害で漏えいしたAPI (Application Programming Interface)キーを通じて$8.5 millionが盗まれ、補償とセキュリティ更新が進行中である。
ファクトチェック
この声明は、複数の権威ある情報源からの一貫した直接的な証拠に基づき、真実である可能性が極めて高いと評価される。金融および仮想通貨分野における4つの独立した高信頼性ニュースメディア(The Block、Finance Magnates、Bitget、Ainvest)が、Trust Walletとその親会社であるバイナンスが影響を受けたユーザーへの補償を約束したことを明示的に報じている。報道は具体的であり、約600万ドルから700万ドルの金額に言及し、バイナンスCEOからの保証とバイナンスのSAFU基金を補償に使用することを引用している。補償計画に言及していない情報源は、主にセキュリティ上の欠陥の初期発見と影響に焦点を当てている。これらの省略は主張と矛盾するものではなく、むしろ企業の公式回答と補償計画が発表される前に公開された可能性を示唆している。関連する情報源全体で矛盾する証拠は提示されていない。提供された情報源のいくつかは、このトピックと完全に無関係であると正しく識別され、無視された。信頼できる出版物からの直接的な証拠の重みと一貫性は、声明の真実性を強く裏付けている。
要約
Trust Walletは、ブラウザー拡張機能のバージョンv2.68が12月24〜26日に侵害され、2,520件のウォレットから$8.5 millionが盗まれたと発表した。この侵害は、GitHubおよびChrome Web StoreのAPI (Application Programming Interface)アクセスの窃取を伴う11月の「Sha1-Hulud」サプライチェーン事案に紐づく漏えいAPI (Application Programming Interface)キーを悪用したものである。Trust Walletは問題修正のためv2.69をリリースし、被害確認済みユーザーへの補償を開始、5,000件超の申請を審査中である。ユーザーには、侵害の可能性があるウォレットから資金を移動し、公式フォーム経由で申請するよう促している。
用語解説
- Trust Wallet: バイナンス傘下の仮想通貨ウォレットサービスで、複数のデジタル資産をサポートし、仮想通貨の保管・送受信を可能にする。
- Browser extension: ウェブブラウザーの機能を拡張するソフトウェアのアドオン。本件では、ブラウザー内で直接仮想通貨ウォレット機能を提供する。
- Supply-chain attack: ソフトウェアの供給網に潜む脆弱性を狙うサイバー攻撃。しばしばサードパーティのツールやコードリポジトリを侵害する。