Aperçu de l'incident
Le 26 décembre 2025, des rapports ont fait état de retraits massifs non autorisés de l'extension Chrome de Trust Wallet, version 2.68. Quelques heures seulement après une mise à jour de routine, des attaquants ont déployé un code malveillant dans l'extension qui a discrètement capturé les phrases de récupération et les clés privées. Les victimes ont signalé des retraits soudains de fonds sur plusieurs chaînes, avec une analyse préliminaire en chaîne indiquant des pertes d'environ 7 millions de dollars.
Vecteur d'attaque et chronologie
- 24 décembre 2025 : la version 2.68 a été publiée sur le Chrome Web Store.
- 26 décembre 2025, 00:15 UTC : le limier de la blockchain ZachXBT avertit la communauté après avoir observé des mouvements rapides de fonds provenant de portefeuilles divers.
- 26 décembre 2025, 02:00 UTC : PeckShield confirme un siphonage de plus de 6 millions de dollars, avec environ 40 % des actifs volés blanchis via des échanges centralisés.
- 26 décembre 2025, 04:30 UTC : Trust Wallet publie un avis invitant à désactiver la version 2.68 et à passer à la version 2.69 corrigée.
- 26 décembre 2025, 07:42 UTC : Trust Wallet confirme des pertes totales d'environ 7 millions de dollars et s'engage à indemniser intégralement les utilisateurs.
Analyse technique
Les attaquants ont intégré une porte dérobée de la chaîne d'approvisionnement en injectant l'instrumentation PostHog JS dans les scripts centraux de l'extension. Cela a permis une exfiltration en temps réel des phrases de récupération déchiffrées et du matériel des clés privées vers un point de terminaison malveillant. Le regroupement sur chaîne révèle que les actifs volés ont été répartis entre Bitcoin, Ethereum, Solana et d'autres jetons compatibles EVM, les recettes étant agrégées sur un petit ensemble d'adresses de retrait avant distribution vers des échanges pour conversion en fiat.
Mesures d'atténuation et réponse
Trust Wallet a publié la version 2.69, qui a supprimé le code malveillant et révoqué les signatures critiques utilisées lors des mises à jour de l'extension. Les utilisateurs concernés ont été invités à révoquer les permissions de l'extension, à transférer les actifs restants vers de nouveaux portefeuilles et à activer l'authentification à deux facteurs lorsque disponible. Le fondateur de Binance, Changpeng Zhao (CZ), a assuré publiquement le remboursement au titre du fonds SAFU. Des cabinets de sécurité indépendants auditent le code et surveillent les vulnérabilités résiduelles.
Implications plus larges
Cet incident souligne le risque accru entourant les extensions de portefeuille basées sur le navigateur. Contrairement aux portefeuilles matériels ou aux clients de bureau entièrement autonomes, les extensions de navigateur fonctionnent dans le contexte de sécurité du navigateur, ce qui augmente leur surface d'attaque. Les experts recommandent l'utilisation de portefeuilles matériels ou de solutions d'abstraction de compte qui imposent des délais de transaction et exigent des approbations explicites de l'utilisateur pour les modifications au niveau du code.
Points clés
- Une compromission de la chaîne d'approvisionnement peut injecter du code malveillant directement dans des mises à jour logicielles légitimes.
- Des avis rapides et un déploiement rapide de correctifs, combinés à des garanties publiques de compensation, sont essentiels pour limiter les dégâts.
- Les environnements basés sur des extensions de navigateur restent vulnérables ; les utilisateurs devraient envisager des alternatives matérielles ou multi-sig pour les avoirs importants.
Commentaires (0)