Trust Wallets confirment un piratage de la chaîne dapprovisionnement de 8,5 millions de dollars via une clé API Chrome divulguée

by Admin |

Aperçu

Trust Wallet a confirmé qu'une attaque de chaîne d'approvisionnement via une mise à jour compromise de l'extension Chrome a entraîné des pertes d'environ 8,5 millions de dollars. Une clé API fuitée du Chrome Web Store a permis aux attaquants de téléverser une version malveillante de l’extension navigateur Trust Wallet directement dans le Web Store officiel, contournant l’examen du code et les contrôles de sécurité.

DĂ©tails de l'attaque

  • PĂ©riode d'attaque : du 24 au 26 dĂ©cembre 2025
  • Version de l'extension : 2.68
  • Nombre de victimes : 2 520 adresses de portefeuille
  • MĂ©thode : code malveillant dĂ©guisĂ© en trafic analytique vers un domaine factice metrics-trustwallet[.]com

Analyse technique

Catégorie d'attaque de la chaîne d'approvisionnement : compromission de clés privées. Contrairement aux exploits typiques des contrats intelligents, cet incident ciblait le mécanisme de distribution. Les identifiants privés utilisés pour publier l'extension ont été exposés, permettant l'injection d'un code d’exfiltration dans le pipeline de publication. Aucune vulnérabilité sur la chaîne n'a été exploité; les utilisateurs finaux ont été ciblés via une infrastructure de confiance.

Mesures de réponse

  • RĂ©vocation immĂ©diate des identifiants API compromis.
  • Retour Ă  la version sĂ©curisĂ©e de l’extension 2.69.
  • Mise en place d'une gestion renforcĂ©e des clĂ©s de publication et d'une authentification multifactorielle sur les systèmes de dĂ©ploiement.
  • Proposition de remboursement Ă  toutes les victimes Ă©ligibles, couvrant l'intĂ©gralitĂ© des pertes.

Implications pour l'industrie

Les éléments d'infrastructure critiques tels que les clés de distribution représentent un point de défaillance unique. Les portefeuilles basés sur des extensions devraient adopter une rotation rigoureuse des identifiants, la surveillance des comptes des éditeurs et une signature de code hors bande pour atténuer des risques similaires. Les équipes de sécurité doivent considérer les vecteurs de chaîne d'approvisionnement avec la même priorité que les audits des contrats intelligents.

Recommandations pour les utilisateurs

Les utilisateurs qui ont installé la version 2.68 doivent supposer qu’ils ont été compromis, déplacer leurs fonds vers de nouveaux portefeuilles générés sur un appareil sécurisé et régénérer leurs phrases mnémoniques. La vérification de la version de l’extension et la mise à jour vers la version 2.69 ou supérieure sont obligatoires. Les demandes de remboursement doivent être soumises via les canaux officiels de support de Trust Wallet.

Commentaires (0)

Devenez membre VIP
âś–

Rejoignez notre newsletter

Abonnez-vous pour recevoir les dernières mises à jour, des conseils gratuits et des offres exclusives !

âś–
Jason vient de devenir membre VIP !
Devenir membre

Offre limitée

Profitez d'une remise de 20 % sur l'abonnement VIP !
00:00:00

Obtenir une réduction
âś–

Recevez un signal aujourd'hui

Un signal actuel BTC/ETH de notre chaîne — gratuit.
DĂ©couvrez comment cela fonctionne avant de passer au VIP.

Aller sur le canal Telegram Pas de spam — seulement des idées de trading.