Trust Wallet confirme une faille de l'extension du navigateur : plus de $6 millions drainés à Noël

Trust Wallet a officiellement reconnu une vulnérabilité de sécurité dans la version 2.68 de son extension Chrome, entraînant des retraits non autorisés pour un total de plus de $6 million de la part des utilisateurs affectés le jour de Noël.

L’entreprise a insisté sur le fait que seule cette version spécifique de l’extension était impactée, l’application mobile et les autres versions d’extension restant sécurisées.

(Sources : X)

Détails de l’incident et réponse immédiate

La faille a été signalée pour la première fois par l’enquêteur on-chain ZachXBT le 25 décembre, qui a rapporté des drains rapides de fonds sur plusieurs utilisateurs de Trust Wallet peu après une mise à jour récente de l’extension.

Trust Wallet a rapidement confirmé le problème sur les réseaux sociaux, en exhortant les utilisateurs à désactiver immédiatement la version 2.68 et à mettre à jour vers la dernière version (version 2.69).

L’équipe a indiqué qu’une enquête active est en cours, avec d’autres mises à jour promises au fur et à mesure que les détails émergeront. La cause technique exacte n’a pas encore été divulguée.

L’analyse de ZachXBT a montré que les attaquants ont exploité la vulnérabilité pour accéder directement aux portefeuilles, en effectuant des transferts non autorisés. Plus de $4 million de fonds volés auraient été transférés vers des échanges centralisés, potentiellement via des prêts flash pour dissimuler les traces.

Des centaines d’utilisateurs semblent avoir été affectés, marquant l’un des plus grands exploits liés à une extension dans la mémoire récente.

Conseils aux utilisateurs et recommandations de sécurité

Trust Wallet a publié des étapes de sécurité claires :

• Désactivez et supprimez immédiatement la version 2.68 de l’extension de navigateur.
• Mettez à jour vers la version corrigée pour continuer à utiliser.
• Envisagez de migrer vos actifs vers l’application mobile, qui offre une authentification biométrique et n’a pas été affectée.
• Surveillez de près l’activité de votre portefeuille pour toute transaction suspecte.

L’entreprise a souligné que l’application mobile reste sécurisée et la recommande comme plateforme privilégiée pour l’avenir.

Contexte plus large et précédent historique

Cet incident fait écho à une vulnérabilité précédente de Trust Wallet en novembre 2022 impliquant du code WebAssembly, qui avait entraîné des pertes d’environ 170 000 $. La société avait remboursé intégralement les utilisateurs affectés à l’époque.

La faille actuelle est nettement plus importante en termes d’ampleur, soulevant des questions sur une éventuelle compensation. Au 26 décembre 2025, Trust Wallet n’a pas annoncé de plans de remboursement, bien que la pression de la communauté augmente pour obtenir des clarifications.

L’événement met en lumière les risques persistants liés aux portefeuilles basés sur le navigateur, notamment les vulnérabilités introduites lors des mises à jour. Il souligne également la sophistication croissante des attaquants modernes ciblant les outils d’auto-garde populaires.

Implications pour l’industrie

L’exploitation rappelle de manière frappante l’importance des mises à jour en temps voulu, de la diversification des actifs sur différentes plateformes, et de la vigilance dans le suivi des transactions.

Alors que les portefeuilles non custodiaux gagnent en popularité, des incidents comme celui-ci risquent d’accroître la surveillance des pratiques de sécurité dans le secteur—pouvant accélérer les appels à une meilleure audit, des protocoles de mise à jour, et une éducation accrue des utilisateurs.

Trust Wallet continue d’enquêter et s’est engagé à faire preuve de transparence à mesure que la situation évolue. Il est conseillé aux utilisateurs de rester vigilants et de suivre les canaux officiels pour les dernières instructions.