Une faille de Trust Wallet planifiée plusieurs semaines à l'avance, les utilisateurs seront entièrement indemnisés

Source : Coindoo Titre original : Trust Wallet Exploit Planned Weeks Ahead, Users to Be Fully Compensated Lien original :

Une faille de sécurité liée à Trust Wallet a été retracée plusieurs semaines avant que les fonds ne soient réellement volés, révélant une attaque à progression lente qui n’a émergé qu’une fois qu’elle a atteint sa dernière étape pendant les vacances de Noël.

Plutôt que d’exploiter une vulnérabilité soudaine, les attaquants semblent s’être patiemment positionnés à l’intérieur du flux de travail de l’extension du navigateur du portefeuille. L’incident a finalement entraîné des pertes d’environ $7 millions, affectant des centaines d’utilisateurs de bureau qui avaient installé une version spécifique de l’extension.

Points clés

• L’exploitation de Trust Wallet a été planifiée plusieurs semaines à l’avance et déclenchée le jour de Noël.
• Environ $7 millions ont été drainés de centaines d’utilisateurs de portefeuilles de bureau.
• L’attaque impliquait une porte dérobée intégrée dans une extension de navigateur compromise.

Une mise à jour est devenue le point d’entrée

L’incident s’est concentré sur la version 2.68 de l’extension Chrome de Trust Wallet. Les utilisateurs utilisant cette version ont interagi à leur insu avec un code compromis, tandis que les portefeuilles mobiles n’ont pas été affectés. Trust Wallet a ensuite exhorté les utilisateurs à mettre immédiatement à jour vers une version plus récente dès la détection d’une activité suspecte.

Ce qui rend ce cas inhabituel, c’est le timing. Bien que les fonds aient été drainés le jour de Noël, des chercheurs en sécurité blockchain indiquent que l’exploitation a été préparée bien plus tôt, suggérant que les attaquants ont attendu que suffisamment d’utilisateurs soient exposés avant de déclencher le vol.

Une porte dérobée, pas un piratage par force brute

Selon les découvertes partagées par SlowMist, le code malveillant intégré dans l’extension allait au-delà de l’autorisation de transferts non autorisés. Il collectait également des données utilisateur et les envoyait discrètement à des serveurs externes contrôlés par l’attaquant.

Le co-fondateur de SlowMist, Yu Xian, a décrit une opération en plusieurs étapes : une préparation précoce en décembre, l’insertion d’une porte dérobée quelques jours avant Noël, et l’exécution une fois l’environnement prêt. Ce niveau de séquencement suggère une connaissance approfondie de l’architecture de l’extension.

Des centaines de portefeuilles, une extraction coordonnée

L’enquêteur blockchain ZachXBT a identifié des centaines de portefeuilles affectés, avec des fonds transférés rapidement et selon des schémas similaires. La cohérence des transactions a renforcé l’idée qu’il ne s’agissait pas d’une erreur utilisateur ou d’un phishing, mais d’une exploitation coordonnée à grande échelle.

Bien que la perte de $7 millions soit faible comparée à certains piratages cryptographiques historiques, elle se distingue car elle ciblait des portefeuilles personnels plutôt que des échanges, une catégorie qui continue de croître en tant que surface d’attaque.

Remboursement et indemnisation

Trust Wallet appartient à une grande plateforme d’échange, et ses dirigeants ont confirmé que les utilisateurs affectés seront entièrement indemnisés. La direction a reconnu la gravité de l’incident et a assuré que les pertes seraient couvertes, limitant ainsi l’impact financier direct sur les victimes.

Cette assurance, cependant, n’a pas vraiment apaisé les inquiétudes quant à la manière dont l’extension compromise a pu atteindre les utilisateurs en premier lieu.

Accès interne sous surveillance

Plusieurs figures de l’industrie ont tiré la sonnette d’alarme sur la nature de l’exploitation. La capacité de l’attaquant à pousser une version modifiée de l’extension et sa connaissance approfondie du code ont conduit certains à suspecter une implication interne.

Le conseiller en blockchain Anndy Lian a ouvertement questionné si une telle attaque pouvait se produire sans connaissance interne. Les dirigeants eux-mêmes ont repris cette idée, déclarant publiquement que la faille était « très probablement » une opération interne.

Un avertissement plus large pour les utilisateurs de portefeuilles

L’incident Trust Wallet intervient dans un contexte de mutation plus large des menaces en matière de sécurité crypto. Selon Chainalysis, les compromissions de portefeuilles personnels représentaient plus d’un tiers des pertes cryptographiques en 2025, une fois exclu le piratage exceptionnellement important d’une plateforme d’échange.

Alors que les échanges renforcent leurs défenses, les attaquants ciblent de plus en plus les extensions de navigateur et les portefeuilles personnels, où les mécanismes de mise à jour et la confiance des utilisateurs peuvent être exploités plus facilement.

Au-delà de la perte immédiate

Bien que le remboursement puisse clôturer le volet financier, l’incident laisse des questions plus larges sans réponse. Comment le code compromis a-t-il été déployé ? Qui avait accès au pipeline de l’extension ? Et combien de risques similaires existent-ils chez d’autres fournisseurs de portefeuilles ?

Pour l’instant, l’exploitation de Trust Wallet reste un rappel que dans la crypto, les vulnérabilités les plus dangereuses ne se trouvent pas forcément sur la blockchain elle-même, mais dans les couches logicielles sur lesquelles les utilisateurs comptent pour y accéder.