Trust Wallet Discord の短いリンクが乗っ取られ、ZachXBT が緊急警告：クリックしないでください

オンチェーン・ディテクティブのZachXBTが4月2日に緊急警告を発しました。Trust WalletのDiscord公式ショートURL discord[.]gg/trustwallet は攻撃者に乗っ取られており、現在は悪意のあるフィッシングサーバーを指しています。ZachXBTは特に、ユーザーは問題が解決するまで、公式のあらゆる経路が提供するリンクを通じてDiscordコミュニティに参加するのを避けるべきだと注意しています。

Discord乗っ取りアラート：ユーザーが直ちに取るべき緊急の防護措置

（出典：ZachXBT）

Trust Walletの公式DiscordショートURLが乗っ取られたことは、これまでこのリンクをブックマークにしていた、または公式/非公式のいずれかのチャネルからリンクを入手したすべてのユーザーが、リンクをクリックするとTrust Walletコミュニティを装ったフィッシングサーバーにたどり着く可能性があることを意味します。

フィッシングサーバーの一般的な攻撃パターンには、公式の管理者を装ってユーザーにシードフレーズ（Seed Phrase）や秘密鍵を提出させること、悪意のあるリンクを含む「公式のセキュリティ告知」を送ること、そしてTrust Walletの緊急アップグレード提示を装って操作を誘導することなどが含まれます。現在、ユーザーは直ちに以下の手順を取る必要があります：

今あるすべてのリンクをクリックしない：出所がTrust Walletの公式サイト、Telegram、ブログ、またはその他の第三者チャネルであっても、アプリまたは既に検証済みのXアカウントを通じて最新のセキュリティ告知と正しいリンクだけを取得する

公式の確認を待つ：Trust Walletの公式がDiscordリンクが復旧して安全になったと発表するまで、再参加しない

何らかの機密情報を入力してしまった場合：資産を新しいウォレットへ移し、そしてシードフレーズを再生成する

同期オンラインのアドレス・ポイゾニング対策：32本のEVMチェーンを全面カバー

Discord乗っ取り事件が発生した同日、Trust Walletはアドレス・ポイゾニング攻撃の即時防護機能を導入すると発表し、ユーザー向けに画面へ追加される能動的なスクリーニングの仕組みを案内しました。システムは目標アドレスに対して自動的にデータベース照合を行い、既知の詐欺アドレス、または見た目が似た偽装アドレスにヒットした場合は、潜在的な悪意のある取引を阻止するようユーザーに直ちに注意します。

初期対応範囲は32のEVM互換ブロックチェーンで、イーサリアム（Ethereum）、バイナンス・スマートチェーン（BNB Smart Chain）、Polygon、Optimism、Arbitrum、Avalanche、Baseなどの主要ネットワークを含みます。

Trust Walletのデータによれば、アドレス・ポイゾニング攻撃は現在すでに2.25億回以上発生しており、確認された損失は5億ドルに達しています。直近の重大な事例2件では、投資家が2025年12月にUSDTを5,000万ドル失いました。さらに別の2名の投資家が合計6,200万ドルを損失しました。これらの損失を受け、幣安の前CEOである趙長鵬（CZ）が「すべてのウォレットは、受け取りアドレスが悪意のあるアドレスかどうかを単純にチェックし、ユーザーをブロックすべきだ。これはただのブロックチェーン調査でしかない」と公に批判しました。

Trust Wallet：2025年以降の一連のセキュリティ課題

今回のDiscord乗っ取り事件は孤立したものではありません。2025年12月24日、Trust WalletのChromeブラウザ拡張機能が攻撃され、ユーザーは約700万ドルを失いました。Trust Walletは緊急に修復版を公開し、被害を受けたユーザーの補償を約束しました。現在、Rabby Wallet、Zengo Wallet、Phantom Walletなどの競合製品は、同様の悪意のある取引を事前にフィルタリングする機能をすでに提供しており、Trust Walletが今回アドレス・ポイゾニング防護を導入したのは、業界からの圧力に対する直接的な対応だといえます。

よくある質問

Trust WalletのDiscordは乗っ取られましたが、どうすれば安全に正しいコミュニティのリンクを取得できますか？

Trust Walletの公式がDiscordリンクが復旧して安全になったことを確認するまで、Trust Walletのアプリ内にある公式ページ、または検証済みのTrust Wallet公式X（Twitter）アカウントを通じて、最新のDiscord招待リンクを取得することを推奨します。保存済みの古いリンクや、第三者チャネルからのリンクは使用しないでください。

アドレス・ポイゾニング攻撃は具体的にどのように機能し、ユーザーはどう防げばよいですか？

攻撃者はまず被害者に少額の取引を送り、フィッシング用のアドレスが被害者の取引履歴に表示されるようにします。被害者が次に送金するとき、履歴から見た目が似た悪意のアドレスをコピーしてしまう可能性があり、その結果資金が攻撃者の口座に送られてしまいます。防止策：アドレスは常に手動で入力するか、信頼できるアドレスからコピーする。取引履歴からアドレスをコピーすることは絶対にしない。そして、アドレスのスクリーニング機能を備えたウォレットのバージョンを使用していることを確認する。

Trust WalletのChrome拡張機能に関する2025年のセキュリティ事件は完全に解決済みですか？

Trust Walletは、2025年12月24日の拡張機能への攻撃後に、悪意のあるコードを削除した新バージョンを公開し、被害を受けたユーザーへの補償を約束しました。すべてのユーザーに対し、Trust Walletの拡張機能が最新バージョンに更新されていることを確認し、Chromeウェブストアの公式ページを通じて、提供元の正当性を検証することを推奨します。