Extension Chrome Trust Wallet : Script caché ayant collecté des clés privées, dommages jusqu’à 7 millions de dollars

2026-01-12 05:47:22

Incident de sécurité critique : la version 2.68 a exposé la seed phrase des utilisateurs

Le 24-25 décembre 2025, Trust Wallet a publié une alerte urgente demandant aux utilisateurs de Chrome de cesser d’utiliser la version 2.68 de l’extension. La société a détecté une vulnérabilité de sécurité dans l’exécution du code, permettant la collecte non autorisée des seed phrases et des clés privées des utilisateurs. Les premiers rapports indiquent un dommage total d’environ 6-7 millions de dollars sur plusieurs blockchains dans les 48-72 premières heures.

L’extension Trust Wallet sur Chrome Web Store compte actuellement environ 1 million d’utilisateurs installés. L’impact réel dépend du nombre de personnes ayant mis à jour vers la version 2.68 et ayant saisi des informations sensibles pendant la période de vulnérabilité. Trust Wallet affirme que la version mobile et d’autres plateformes ne sont pas affectées.

Mécanisme d’attaque : collecte de secrets de portefeuille via du code JavaScript malveillant

Les chercheurs en sécurité ont découvert une logique suspecte dans le package d’installation de la version 2.68. Plus précisément, dans un fichier JavaScript faisant référence au fichier “4482.js”, ils ont constaté que ce code pouvait transmettre la seed phrase et la clé privée à un serveur externe.

La seed phrase est une séquence de mots permettant de déverrouiller toutes les adresses actuelles et futures générées à partir d’elle. Cela signifie que si la seed phrase est compromise, l’ensemble du portefeuille et des actifs sur différentes chaînes peuvent être vidés. L’équipe de vérification a identifié un risque élevé pour ceux qui ont saisi ou restauré leur seed phrase après l’installation de la version vulnérable.

Actions nécessaires : mise à jour insuffisante, transfert des actifs indispensable

Mettre à jour vers la version 2.69 peut supprimer le code malveillant à l’avenir, mais cela ne protège pas automatiquement les actifs si la seed phrase a été compromise auparavant.

Si vous avez saisi ou restauré votre seed phrase avec la version 2.68, considérez-la comme compromise. Les étapes de remédiation standard incluent :

Créer une nouvelle seed phrase entièrement différente
Transférer tous les actifs vers un nouveau portefeuille généré avec la nouvelle seed phrase
Révoquer les approbations de tokens (token approvals) sur les smart contracts si possible

Ces actions peuvent être coûteuses, notamment si vous devez transférer des actifs sur plusieurs chaînes. Les utilisateurs doivent peser le compromis entre rapidité et coût en gas, surtout pour les transactions cross-chain.

Escroqueries de “sauvetage” en augmentation

Au même moment que l’incident, des escroqueries secondaires ont commencé à apparaître. Des fraudeurs créent des domaines “de récupération” falsifiés pour tromper les utilisateurs en leur demandant de fournir leur seed phrase sous prétexte de “support de récupération de portefeuille”.

Trust Wallet recommande aux utilisateurs de ne pas interagir avec des messages non officiels. Les attaquants peuvent usurper l’équipe de support de Trust Wallet pour piéger les victimes. Vérifiez toujours la source de toute demande concernant la seed phrase.

Problème plus large : l’extension comme point faible de la sécurité du portefeuille

Cet incident souligne un risque fondamental des extensions de navigateur. Elles se trouvent à un point sensible entre l’application web et le processus de signature des transactions, permettant une intervention dans des informations sur lesquelles l’utilisateur se base pour valider ses opérations.

Des études académiques sur le Chrome Web Store montrent que des extensions malveillantes ou compromises peuvent échapper à la censure automatique. Avec l’évolution des tactiques d’attaque, la détection devient plus difficile. Cela est particulièrement préoccupant pour les mises à jour de portefeuille où le code côté client est complexe, rendant l’analyse plus difficile.

Précédent : discipline dans le processus de distribution logicielle

Cet incident remet en question l’intégrité du processus de développement et de distribution des logiciels. Des solutions à long terme pourraient inclure :

La construction de (reproducible builds)
La séparation des clés (key separation)
Des processus de rollback plus clairs

Ces mesures aideraient les fournisseurs et plateformes à établir de meilleures méthodes de vérification et à mieux guider les utilisateurs.

Données du marché : les investisseurs restent “en attente”

Malgré la gravité de l’incident, le marché du token TWT (Trust Wallet Token) reflète une certaine incertitude. Selon les données du 12 janvier 2026 :

Prix actuel : 0,89 $
Variation 24h : +0,13%
Plus haut 24h : 0,90 $
Plus bas 24h : 0,86 $

Cette volatilité indique que les investisseurs n’ont pas encore totalement réévalué le token dans une direction claire. Les signaux positifs peuvent venir des engagements de Trust Wallet à rembourser ou de la confiance dans la résolution du problème.

Prévision des pertes : de 6-12 millions de dollars à $25 millions+ dans 2-8 semaines

Les raisons pour lesquelles les pertes pourraient continuer à augmenter incluent :

Rapports tardifs des victimes
Reclassification des adresses
Amélioration du suivi des transactions de swap cross-chain

Une fourchette réaliste pour 2-8 semaines pourrait être divisée en scénarios :

Scénario	Pertes prévues	Probabilité
Contrôlé	6M–$12M	40%
Expansion modérée	15M–$25M	35%
Grave crise	> $25M	25%

Cela dépend de : si la collecte se limite à la saisie de seed sur v2.68, s’il existe d’autres vecteurs d’attaque, et de la rapidité à supprimer les domaines frauduleux.

Chronologie de l’incident

24 décembre : déploiement de la version 2.68 ; début des rapports de retraits
25 décembre : Trust Wallet publie la version 2.69 pour corriger
48-72 heures : dommages totaux estimés à environ 6-7 millions de dollars

Derniers conseils de Trust Wallet

La société a confirmé que près de 7 millions de dollars ont été affectés et s’engage à rembourser tous les utilisateurs concernés. Les instructions de Trust Wallet sont :

Désactiver immédiatement l’extension version 2.68 dans Chrome
Mettre à jour vers la version 2.69 depuis Chrome Web Store
Si vous avez saisi votre seed phrase avec 2.68 : considérez-la comme compromise, créez une nouvelle seed et transférez vos actifs
Ne pas interagir avec des messages non officiels — les escrocs peuvent usurper le support
Attendre les instructions officielles pour le remboursement

Cet incident rappelle que, malgré la commodité des extensions, les utilisateurs doivent être vigilants face aux risques de sécurité.

TWT-0,67%

TOKEN-4,18%

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.