- La faille de l’Extension v2.68 a entraîné des pertes de 7 millions de dollars sur BTC, Solana et EVM en raison du vol de seed phrase.
- Les chercheurs ont signalé le code 4482.js et un domaine suspect, soulevant des inquiétudes concernant la chaîne d’approvisionnement.
- Trust Wallet a publié un correctif v2.69, a exhorté les utilisateurs à désactiver l’extension et a promis une compensation.
Trust Wallet a confirmé une faille de sécurité liée à son extension de navigateur, entraînant des sorties non autorisées de crypto-monnaies à grande échelle. Selon les déclarations de Trust Wallet sur X, l’incident a touché les utilisateurs ayant installé la version 2.68 peu avant Noël. Les hackers ont exploité la mise à jour, extrait les seed phrases et vidé environ 7 millions de dollars sur les réseaux Bitcoin, Solana et EVM.
Il est à noter que la faille n’a pas affecté les utilisateurs mobiles ou les autres versions de l’extension, selon la société. Cependant, le timing, l’ampleur et la rapidité des pertes ont intensifié les inquiétudes au sein de la communauté de l’auto-conservation.
Mise à jour de l’extension liée à des vidages rapides de portefeuilles
Trust Wallet a publié une mise à jour de son extension de navigateur le 24 décembre via les canaux de distribution standards. Peu après, des utilisateurs ont signalé des fonds manquants, avec des transactions survenant dans les minutes suivant l’accès au portefeuille. Plusieurs victimes ont déclaré que les fonds avaient été vidés immédiatement après l’importation de leur seed phrase dans l’extension.
Notamment, l’enquêteur on-chain ZachXBT a publié une alerte après avoir reçu plusieurs signalements indépendants d’utilisateurs. Il a ensuite indiqué que des centaines de portefeuilles étaient concernés, avec des pertes initiales dépassant 6 millions de dollars. Un suivi ultérieur a montré que les fonds circulaient à travers plusieurs adresses de réception, selon les données d’Arkham.
Par ailleurs, les blockchains affectées comprenaient Bitcoin, Solana et plusieurs réseaux compatibles EVM. Cet impact multi-chaînes suggérait une compromission au niveau du portefeuille plutôt qu’une exploitation d’un protocole unique. À mesure que les signalements se multipliaient sur X et Telegram, l’attention s’est rapidement portée sur la mise à jour de l’extension elle-même.
L’analyse du code soulève des inquiétudes sur la chaîne d’approvisionnement
Suite à l’incident, des chercheurs indépendants ont examiné la base de code mise à jour de l’extension. Selon les analyses partagées, un fichier JavaScript identifié sous le nom 4482.js contenait une logique nouvellement ajoutée. Les chercheurs ont allégué que le code était activé lors de l’importation de seed phrase.
Il est à noter que le code semblait transmettre des données à un domaine nommé metrics-trustwallet[.]com. Les chercheurs de la communauté ont observé que le domaine avait été enregistré seulement quelques jours auparavant, puis mis hors ligne. Cependant, ces conclusions proviennent d’analyses tierces et non d’un audit officiel.
Parallèlement, Trust Wallet a reconnu un « incident de sécurité » affectant uniquement la version 2.68 de l’extension de navigateur. L’entreprise a conseillé aux utilisateurs de désactiver immédiatement l’extension et de passer à la version 2.69. Trust Wallet a déclaré que la mise à jour corrigeait le problème et a exhorté les utilisateurs à ne télécharger qu’à partir des boutiques officielles.
À lire aussi : Hyperliquid affirme qu’un ancien employé était derrière le shorting de HYPE
Impact sur les utilisateurs, réponse et enquête en cours
Plusieurs utilisateurs ont publiquement détaillé leurs pertes pendant les vacances de Noël. Un utilisateur a signalé avoir perdu plus de 300 000 dollars en quatre minutes après son retour de Noël. D’autres ont déclaré des pertes allant de plusieurs milliers à plusieurs centaines de milliers de dollars.
Trust Wallet a indiqué que son équipe de support avait contacté les utilisateurs concernés pour les prochaines étapes. De plus, le fondateur de Binance, Changpeng Zhao, a confirmé que Trust Wallet couvrirait les pertes vérifiées. « Jusqu’à présent, 7 millions de dollars ont été affectés par ce piratage », a écrit Zhao, ajoutant que les fonds des utilisateurs restent SAFU.
À noter, Zhao possède Trust Wallet, que Binance a acquis en 2018. L’entreprise n’a pas nommé l’attaquant et a déclaré que l’incident était dû à un problème impliquant un tiers. Les enquêtes sont toujours en cours alors que les chercheurs suivent les fonds restants et les portefeuilles impactés.
L’incident s’est produit dans un contexte d’augmentation générale des vols de crypto-monnaies tout au long de 2025. Selon les estimations de Chainalysis, les vols de crypto-monnaies ont dépassé 3,41 milliards de dollars depuis le début de l’année. La faille de Trust Wallet a accentué les préoccupations croissantes concernant la sécurité des portefeuilles basés sur navigateur.
Trust Wallet a réitéré que les utilisateurs mobiles n’avaient pas été affectés tout au long de l’incident. L’entreprise a continué de publier des mises à jour au fur et à mesure de l’avancée de l’enquête. Parallèlement, les utilisateurs ont été invités à éviter d’importer des seed phrases dans les extensions de navigateur.
La faille de l’extension de navigateur Trust Wallet est survenue après une mise à jour du 24 décembre, qui a entraîné un vidage rapide des portefeuilles. Les enquêteurs ont lié des pertes d’environ 7 millions de dollars à la version 2.68, impactant les utilisateurs sur les réseaux Bitcoin, Solana et EVM. Trust Wallet a publié des correctifs, confirmé son intention d’indemniser les utilisateurs affectés et continue de travailler avec les personnes concernées.
