#钱包安全漏洞 Trust Walletの今回の600万ドルの大穴を見て、心に重みを感じる。大きさの問題ではなく、このパターンがあまりにも馴染み深いからだ。

2022年に遡ると、私はプラグインウォレットのセキュリティに関するいくつかの重要な瞬間を目の当たりにした。当時、Demonicの脆弱性がMetaMaskやPhantomを席巻し、秘密鍵がメモリ内で裸の状態だったことを覚えている。その時、多くの人がグループ内で使い続けるべきかどうかを問い合せていた。後にTrust Wallet自身もWebAssemblyの脆弱性を曝露し、たとえ17万ドルの補償だったとしても、その対応姿勢が逆に信頼を勝ち取った。三年を経て、今回のバージョン2.68の件を見ると、まるで歴史がある次元で繰り返されているかのようだ。

しかし、データを詳しく分析すると、問題の本質が静かに変化していることに気づく。これまでの数年間、プラグインウォレットの公式の直接的な脆弱性は実際には減少している。大きな災害を引き起こすのはコードそのものではなく、偽装アプリやフィッシングの手口だ。MetaMaskは2023年以降、直接的なセキュリティ脆弱性を出していないが、盗難事件は逆に増加している。その原因は偽装ソフトとフィッシング攻撃にある。Firefoxストアでの集中爆発も、その最良の証明だ。

私は多くのプロジェクトが技術的防御線の堅牢さから市場の陥落へと進むのを見てきた。Trust Walletは市場占有率35%、月間アクティブユーザー1700万という規模で、すでに最大の標的となっている。ハッカーたちは賢くなり、もはや公式コードを徹底的に攻めるのではなく、サプライチェーンやユーザー行動に焦点を当てている。公式ウォレットの防御方法を模倣し、偽装ソフトの対策を行い、フィッシングリンクに対しても正確に警告を出す。これは不均衡な軍拡競争の様相だ。

今振り返ると、2022年の脆弱性バウンティ制度から2025年の集団訴訟騒動まで、エコシステムは変容を遂げている。一部のプロジェクトは迅速な補償と透明なコミュニケーションを学び、他は法廷で責任の所在を争っている。Phantomの「非托管ウォレットの責任はユーザーにある」という言葉は字義通り正しいが、もしユーザーが真偽を見分けられないなら、どんなに論理的に正しくても信頼は崩れる。

現状に戻ると、私の提案は非常にシンプルだ：Chrome Web Storeの公式チャネルだけが唯一信頼できる堡垒だ。しかし問題は、これを理解している人々の多くは2017年の熊市を生き延びてきた人たちであり、実際に守るべきは新規参入者だ。こうした事件が起きるたびに、より多くの人が托管取引所に流れ込むことになる。皮肉なことに、それこそがこの種の問題の最初の解決策の方向性だったりする。歴史の軌跡は時にこうも奇妙だ。