Le 25 décembre, plusieurs utilisateurs de cryptomonnaie ont signalé des retraits rapides et non autorisés depuis l’extension de navigateur Trust Wallet, entraînant une alerte communautaire immédiate. Les premiers rapports ont émergé via l’enquêteur on-chain ZachXBT, qui a signalé des centaines d’adresses compromises sur des chaînes compatibles EVM, Bitcoin et Solana dans une fenêtre de deux heures. La brusque hausse des pertes signalées — initialement estimées à plus de 6 millions de dollars — a déclenché des avertissements urgents sur Telegram et X, exhortant tous les utilisateurs à révoquer les autorisations et à retirer leurs fonds.
Les chercheurs communautaires ont rapidement identifié l’extension Chrome de Trust Wallet version 2.68 comme dénominateur commun. L’examen des fichiers JavaScript de l’extension a révélé des ajouts inexplicables dans « 4482.js » absents des notes de version officielles. Des segments de code suspects déguisés en fonctions d’analyse étaient, en réalité, capables de capturer les phrases de récupération, de les relayer vers metrics-trustwallet[.]com, puis de vider les portefeuilles automatiquement lors de l’importation des phrases. La charge malveillante ne s’activait que lors d’événements d’importation de portefeuille, échappant à une détection précoce.
Une analyse en chaîne ultérieure a ensuite retracé plus de 6 millions de dollars d’actifs volés acheminés via des mixeurs de confidentialité et des services d’obfuscation, soulignant l’intention des attaquants de blanchir rapidement les fonds. Les adresses des victimes couvraient des comptes multisig internes, des portefeuilles individuels de grande valeur et de petits traders de détail, indiquant la vulnérabilité des portefeuilles basés sur navigateur face aux attaques de chaîne d’approvisionnement. Des transactions de « peel » provenant de grands mixeurs tels que Tornado Cash et Wasabi Wallet ont également été observées, indiquant des stratégies de blanchiment coordonnées.
Suite à un examen public, Trust Wallet a publié un avis officiel reconnaissant un incident de sécurité qui ne concerne que l’extension version 2.68. L’avis recommandait de désactiver immédiatement l’extension, de passer à la version 2.69 disponible sur le Chrome Web Store officiel et d’éviter l’importation de phrases de récupération dans les environnements du navigateur. Les utilisateurs mobiles et ceux qui n’utilisent pas Chrome semblent avoir été épargnés. Trust Wallet a précisé que la fuite n’avait pas compromis son application mobile principale ni les contrats intelligents sur la blockchain.
L’incident a relancé le débat sur les risques de garde personnelle (self-custody) et la sécurité opérationnelle. Les experts ont réaffirmé que les environnements de gestion des clés sont aussi critiques que les protocoles cryptographiques, et que l’intégrité de la chaîne d’approvisionnement doit être assurée à la fois par les fournisseurs de portefeuilles et les places de marché de navigateurs. Par précaution immédiate, les chercheurs en sécurité ont conseillé aux utilisateurs affectés de migrer leurs actifs restants vers de nouveaux portefeuilles créés sur des appareils sécurisés et isolés (air-gapped), de révoquer toutes les autorisations d’applications décentralisées et de surveiller l’activité réseau pour détecter les interactions suspectes.
À la suite de l’attaque, les appels en faveur d’un contrôle standardisé des extensions, de journaux de changements transparents et d’audits indépendants se font plus forts. Des cabinets de sécurité blockchain et des groupes d’auditeurs en open source collaborent sur des outils permettant de détecter des codes clients anomaux dans les extensions de portefeuilles populaires. Pour l’instant, l’incident Trust Wallet illustre clairement comment les vulnérabilités de la chaîne d’approvisionnement peuvent miner la promesse d’un contrôle des actifs en libre propriété, incitant la communauté à accorder la priorité à la sécurité de bout en bout dans la conception et la distribution des portefeuilles.
Commentaires (0)