非管理型（ノンカストディアル）仮想通貨ウォレット「トラストウォレット」を巡り、数百人規模のユーザーが資金流出被害を受けた可能性が明らかになった。オンチェーン調査で知られるザックXBT氏は26日、複数のトラストウォレット利用者から、過去数時間以内にウォレットアドレスから無断で資金が流出したとの報告が寄せられていると明かした。

トラストウォレットは、バイナンスが運営する非管理型ウォレットで、ユーザー自身が秘密鍵を管理する仕組みを採用している。ザックXBT氏によると、正確な原因はまだ特定されていないものの、18日にChrome拡張機能の新しいアップデートがリリースされた後に被害が発生した点が共通しているという。

同氏が公開した盗難対象アドレスには、イーサリアム仮想マシン（EVM）互換チェーンで8件、ビットコインで6件、ソラナで1件が含まれている。被害総額は、最低でも600万ドル（約9億円）以上にのぼり、影響を受けたユーザーは数百人に及ぶと推定されている。

トラストウォレットは、ビットコインやイーサリアム、ソラナなど100以上のブロックチェーンと1,000万以上のトークンをサポートし、世界中で数千万人のユーザーを抱える主要ウォレットだ。ザックXBT氏は、「もし脆弱性の責任がトラストウォレット側にあると判断された場合、すべての被害者に補償が提供されることを望む」とコメントしている。

その後の最新発表で、トラストウォレットは公式声明を出し、ブラウザ拡張機能のバージョン2.68のみに影響するセキュリティインシデントを確認したと明らかにした。該当バージョンを使用しているユーザーに対しては、拡張機能を無効化し、バージョン2.69へアップデートするよう強く推奨している。なお、モバイル版のみを利用しているユーザーや、他のブラウザ拡張機能バージョンは影響を受けていないという。

トラストウォレットは「現在、チームが積極的に問題に対応しており、できるだけ早く最新情報を共有する」としている。今回の事案は、非管理型ウォレットにおいてもソフトウェア更新時のセキュリティリスクに注意が必要であることを改めて浮き彫りにした。