#钱包安全漏洞 Voir le trou de 6 millions de dollars de Trust Wallet cette fois-ci, j'ai un peu le cœur lourd. Ce n'est pas parce que l'affaire est si grande, mais parce que ce modèle est trop familier.

En revenant à 2022, j'ai été témoin à plusieurs reprises de moments clés concernant la sécurité des portefeuilles plug-in. À cette époque, la vulnérabilité Demonic balayait MetaMask et Phantom, les clés privées étant exposées en mémoire, je me souviens combien de personnes dans le groupe se demandaient s'il fallait continuer à utiliser. Plus tard, Trust Wallet a lui-même révélé une vulnérabilité WebAssembly, bien que ce ne soit que 17 000 dollars, mais l'attitude de compensation a en fait renforcé la confiance. Trois ans plus tard, en regardant cette affaire de la version 2.68, on a l'impression que l'histoire se répète à un certain niveau.

Mais en analysant attentivement les données, on découvre que la nature du problème change silencieusement. Ces dernières années, les vulnérabilités directes officielles des portefeuilles plug-in ont en réalité diminué, ce qui cause de véritables catastrophes n'est pas le code lui-même, mais ces applications frauduleuses et ces techniques de phishing. MetaMask n'a pas connu de vulnérabilités de sécurité directes depuis 2023, mais les incidents de vol de fonds ont en revanche explosé, la raison étant les logiciels contrefaits et les attaques de phishing. La récente explosion dans le magasin Firefox en est la meilleure preuve.

J'ai vu trop de projets passer d'une défense technique solide à une défaite sur le marché. Trust Wallet détient 35% de part de marché et 17 millions d'utilisateurs actifs mensuels, cette taille en fait déjà une cible majeure. Les hackers sont devenus plus intelligents, ils ne se battent plus uniquement contre le code officiel, mais jouent sur la chaîne d'approvisionnement et le comportement des utilisateurs. Comment protéger le portefeuille officiel ? En copiant les logiciels contrefaits ; comment lancer une alerte de sécurité ? En envoyant des liens de phishing précis. C'est une course aux armements inégale.

En regardant en arrière, du système de récompense pour vulnérabilités de 2022 à la tempête de class action en 2025, tout l'écosystème est en train de muer. Certains projets ont appris à faire des compensations rapides et une communication transparente, d'autres se rejettent mutuellement la responsabilité devant le tribunal. La phrase de Phantom "Les portefeuilles non custodiaux, la responsabilité revient à l'utilisateur" n'est pas fausse littéralement, mais si l'utilisateur ne peut même pas distinguer le vrai du faux, aucune logique forte ne peut soutenir la confiance.

Pour revenir à la situation actuelle, ma recommandation est en fait très simple : le canal officiel du Chrome Web Store est la seule forteresse fiable. Mais le problème, c'est que ceux qui comprennent cette logique ont souvent survécu à la bear market de 2017, et ce qu'il faut vraiment protéger, ce sont ceux qui entrent en ce moment. Chaque incident pousse davantage de personnes vers les échanges centralisés, ce qui est ironique, car c'est justement cette solution qui est initialement la réponse à ce genre de problème. La trajectoire de l'histoire est parfois vraiment étrange.