プラグインウォレットのセキュリティ事件一覧：偽造ソフトウェアやフィッシング攻撃に悩まされており、公式の脆弱性は少ない

12 月 26 日、今朝ユーザーベース最大の非管理型暗号ウォレットであるTrust Wallet公式は、安全警告を発表し、ブラウザプラグインのバージョン2.68にセキュリティ脆弱性が存在することを確認しました。オンチェーン探偵のZachXBTは、既に数百人のTrust Walletユーザーの資金が盗まれ、損失額は少なくとも600万ドルに達していることを明らかにしました。Trust Walletは累計ダウンロード数が2億回を超え、月間アクティブユーザーは約1700万人で、市場シェアの約35%を占めており、今回のセキュリティ事件は広範囲に影響しています。以下は、複数の主要ブラウザプラグインが経験したセキュリティ事件の概要です。

Trust Walletのブラウザプラグインは、2022年11月にもWebAssemblyの脆弱性が発見されており、これは2022年11月14日から23日までに作成された新しいウォレットアドレスにのみ影響しました。この脆弱性により約17万ドルの資金が盗まれましたが、Trust Walletは脆弱性バウンティプログラムを通じて問題を発見し、修正し、影響を受けたユーザーに全額補償しました。

MetaMaskは、2022年に「Demonic」脆弱性が発見され、バージョン10.11.3以前の旧バージョンに影響しました。この脆弱性により、ブラウザ内のメモリに秘密鍵が露出する可能性がありましたが、大規模な資金損失は報告されていません。その後、2023年から2025年にかけてMetaMaskの公式ウォレットプラグインは安全に運用されてきましたが、偽造拡張機能の影響を頻繁に受けており、Chainalysisの報告によると、2025年にはMetaMaskユーザーの不正盗難事件が激増しています。主な原因は、偽のマルウェアやフィッシングであり、プラグインのセキュリティ自体ではありません。MetaMaskは毎月セキュリティレポートを公開していますが、人気のイーサリアムプラグインウォレットとして、依然として偽造品のターゲットとなっています。

Phantom（Solanaの主要ウォレットプラグイン）も2022年に「Demonic」脆弱性の影響を受けましたが、大規模な資金損失は報告されていません。2025年初頭には、Phantomウォレットプラグインに関するセキュリティ争議が発生し、あるユーザーが50万ドルを失いました。これは、秘密鍵が暗号化されずにメモリ内に保存されていたため、ハッカーによる攻撃が行われたとされています。これにより、ニューヨーク南部裁判所に集団訴訟が提起されました。Phantomの公式声明は、すべての告発を強く否定し、訴訟は「根拠がない」とし、Phantomは非管理型ウォレットであり、資金の安全責任はユーザーにあると強調しています。

Rabby Wallet（DeFiに優しいプラグイン）は、2022年にRabby Swapの脆弱性により、ハッカーに約20万ドルの暗号資産が盗まれました。この脆弱性はプラグイン自体ではなく、内蔵されたSwap機能に起因しています。

ブラウザプラグインウォレットで最も一般的な盗難手段は、偽アプリのダウンロードです。2025年にはFirefoxストアでこの種の事件が複数発生し、MetaMask、Phantom、Trust Walletなどの複数の主要暗号プラグインウォレットに影響を与えました。一方、プラグインの公式脆弱性は比較的少なく、ユーザーには公式のChrome Web Storeからのみダウンロードし、資金の安全を確保することを推奨します。