Trust Wallet victime d'un braquage de Noël : des hackers exploitent une vulnérabilité d'extension pour voler plus de 6 millions de dollars

Une mise à jour apparemment ordinaire de l’extension Chrome est devenue le point de départ d’une grande attaque contre les actifs cryptographiques. Le 24 décembre, Trust Wallet a publié une mise à jour de l’extension dans le Chrome Web Store, version 2.68.

Le 25 décembre, jour de Noël, les premiers victimes se sont réveillées pour découvrir que leurs fonds dans le portefeuille avaient été transférés sans autorisation. Le détective blockchain ZachXBT est rapidement intervenu pour enquêter, et a lancé une alerte d’urgence dans le groupe Telegram.

Au fur et à mesure de l’avancement de l’enquête, la vue d’ensemble de l’incident a commencé à émerger : seules les versions 2.68 de l’extension navigateur ont été affectées, les versions mobiles et autres ne sont pas concernées.

01 Aperçu de l’incident : événement de sécurité de Noël et réactions multiples

Le 25 décembre 2025, un Noël censé être rempli de joie s’est transformé en cauchemar pour des centaines d’utilisateurs de Trust Wallet. Le détective ZachXBT a lancé une alerte, signalant que plusieurs centaines d’utilisateurs de la plateforme Trust Wallet avaient vu leurs fonds volés, avec une perte totale d’au moins 6 millions de dollars.

Trust Wallet est un portefeuille de cryptomonnaies sous Binance, revendiquant des dizaines de millions d’utilisateurs. En tant que portefeuille non custodial leader du secteur, il supporte Ethereum, Binance Smart Chain, et d’autres blockchains majeures, avec une intégration étroite à de nombreuses plateformes DeFi.

Après l’incident, Trust Wallet a publié une alerte de sécurité confirmant une vulnérabilité dans la version 2.68 de l’extension Chrome, et a lancé en urgence la version 2.69 pour corriger le problème.

CZ, le fondateur de Binance, a également réagi sur les réseaux sociaux, indiquant que cette faille aurait causé une perte d’environ 7 millions de dollars, et que la plateforme rembourserait intégralement les utilisateurs affectés via un fonds de sécurité “SAFU”.

02 Chronologie de l’attaque : un plan soigneusement orchestré pour Noël

La chronologie de cet incident révèle une planification méticuleuse par les attaquants. La veille de Noël, Trust Wallet a publié une mise à jour de l’extension dans le Chrome Web Store, la majorité des utilisateurs ayant effectué la mise à jour automatiquement ou manuellement dans l’ambiance festive.

Seulement quelques heures plus tard, le matin du 25 décembre, heure de l’Est américain, les premiers victimes ont commencé à constater des transferts de fonds anormaux. Après avoir reçu plusieurs signalements, ZachXBT a publié une alerte publique dans Telegram vers midi, heure locale.

Les transferts de fonds ont duré plus de 30 heures, ce qui est une période très longue depuis le premier signal. Pendant que les actifs des utilisateurs continuaient d’être volés, l’équipe officielle de Trust Wallet publiait encore des messages de vœux et de marketing pour les fêtes, ce qui a suscité une forte insatisfaction dans la communauté.

Ce n’est que le 26 décembre, plus de 30 heures après le début de l’incident, que Trust Wallet a publié un avertissement officiel concernant la vulnérabilité de l’extension. Cette gestion a été largement critiquée, accentuant encore la méfiance des utilisateurs.

03 Analyse technique : la vulnérabilité fatale de l’extension Chrome

Les experts en sécurité ont indiqué que cette attaque pourrait avoir été réalisée de deux manières : d’une part, par l’injection intentionnelle de code malveillant lors de la mise à jour ; d’autre part, par l’introduction accidentelle d’une vulnérabilité exploitable.

Les extensions Chrome disposent de permissions élevées, ce qui en fait une cible idéale pour les attaquants. Ces extensions peuvent lire et modifier tout le contenu des pages web visitées, intercepter les requêtes réseau, injecter des scripts arbitraires, voire accéder au stockage local.

Le CISO de SlowFog a précisé que cet incident pourrait provenir d’un contrôle compromis du dispositif de développement ou du dépôt de code, et que certains utilisateurs continuent d’être victimes de vols. Cette analyse souligne la menace des attaques sur la chaîne d’approvisionnement : les attaquants n’ont pas besoin d’infiltrer directement l’application portefeuille, mais peuvent simplement prendre le contrôle d’un composant en amont.

Les recherches en sécurité montrent que les portefeuilles de navigateur présentent trois risques systémiques majeurs : le mécanisme de mise à jour automatique empêche l’utilisateur d’auditer le code avant acceptation ; l’abus de permissions peut permettre à une extension légitime d’ajouter du code malveillant lors d’une mise à jour ; la vulnérabilité de la chaîne de dépendances peut affecter toutes les applications en aval, sans que l’utilisateur en ait conscience.

04 Suivi des flux de fonds : la voie de blanchiment des hackers

Selon les données de PeckShield, lors de l’exploitation de la vulnérabilité de Trust Wallet, les hackers ont déjà volé plus de 6 millions de dollars d’actifs cryptographiques. Ces fonds ont été rapidement transférés automatiquement vers un groupe de portefeuilles contrôlés par les attaquants.

Le suivi des flux révèle un processus systématique de blanchiment :

Plus précisément, environ 3,3 millions de dollars ont été transférés vers ChangeNOW, environ 340 000 dollars vers FixedFloat, et environ 447 000 dollars vers KuCoin. Ce mode de transfert rapide et dispersé est courant dans les cas où la fonctionnalité ou la partie frontale est compromise, afin d’augmenter la difficulté de traçage.

Les analystes blockchain ont identifié qu’un nouveau portefeuille EVM a reçu des transactions allant de quelques fractions d’ETH jusqu’à 7 ETH, dont une adresse détient encore plus de 255 ETH, d’une valeur d’environ 750 000 dollars.

Sur le réseau Bitcoin, une seule adresse a reçu plus de 12 BTC via 66 transactions, d’une valeur de plus d’un million de dollars, tandis que d’autres portefeuilles ont reçu au total 1,5 BTC.

05 Impact sur le marché et performance des tokens

L’incident Trust Wallet a non seulement affecté directement les victimes, mais a aussi secoué l’ensemble du marché des cryptomonnaies. En tant que token utilitaire natif de cet écosystème, le token Trust Wallet (TWT) pourrait subir une pression à la baisse.

Le fondateur de SlowFog, Yu Jin, a également souligné que les attaquants semblaient bien connaître le code source de Trust Wallet, ayant implanté le script PostHog JS pour collecter diverses informations sur les portefeuilles utilisateurs. Ce qui est inquiétant, c’est que la version corrigée de Trust Wallet n’a pas supprimé ce script PostHog JS.

Les données historiques montrent que des incidents similaires entraînent généralement une chute de 10% à 20% du prix du token concerné dans les 24 heures, avec une augmentation du volume de trading et une panique de vente. Cet incident pourrait aussi inciter les investisseurs à se tourner vers des actifs plus sûrs, comme Bitcoin et Ethereum.

Au 26 décembre, selon les données de la plateforme Gate, le marché affiche une attitude prudente, avec une attention accrue portée à la sécurité des portefeuilles. Bien que CZ ait promis un remboursement intégral, la confiance du marché nécessitera du temps pour se rétablir.

06 Conseils pour les utilisateurs et recommandations de sécurité

Pour les utilisateurs de Trust Wallet potentiellement affectés, il est impératif de suivre ces mesures :

Étape 1 : Vérification et isolement. Vérifiez vos transactions des 48 dernières heures, en particulier les transferts non autorisés de tokens, interactions avec des contrats ou signatures d’autorisation. En cas de transactions suspectes, désactivez immédiatement l’extension Chrome Trust Wallet en allant dans chrome://extensions pour la désactiver ou la supprimer.

Étape 2 : Sauvetage des actifs. Utilisez Revoke.cash ou la fonction d’approbation de tokens sur Etherscan pour révoquer toutes les autorisations DeFi. Créez un nouveau portefeuille, utilisez une nouvelle phrase de récupération, et ne pas restaurer avec l’ancien. Transférez les fonds restants vers ce nouveau portefeuille, en évitant d’utiliser des appareils potentiellement surveillés.

Étape 3 : Signalement et recours. ZachXBT recommande aux victimes de contacter les autorités et de fournir des détails précis des transactions. Bien que le taux de résolution des vols en cryptomonnaies soit faible, établir un dossier officiel est crucial pour d’éventuelles actions collectives ou demandes d’assurance.

Pour les utilisateurs non affectés, les mesures préventives incluent : suspendre l’utilisation de l’extension Chrome, privilégier l’application mobile ou le hardware wallet ; vérifier et révoquer les autorisations de contrats DeFi inutiles ; éviter de signer de nouvelles transactions ou autorisations tant que la situation n’est pas clarifiée ; sauvegarder régulièrement la phrase de récupération hors ligne ; envisager de transférer les gros montants vers un hardware wallet.

Trust Wallet a également publié dans son centre d’assistance un guide pour le processus de compensation, où les victimes peuvent s’inscrire pour réclamer une indemnisation. ZachXBT indique que si la responsabilité de Trust Wallet est confirmée, la plateforme pourrait devoir indemniser les utilisateurs affectés.

Perspectives futures

Alors que plus de 4 millions de dollars de fonds volés ont déjà été transférés vers des plateformes comme ChangeNOW, FixedFloat et KuCoin, les répercussions de cette attaque de Noël continuent de secouer le monde de la cryptographie. Les données de PeckShield montrent qu’environ 2,8 millions de dollars restent encore dans le portefeuille des hackers.

Yu Jin, l’expert en sécurité qui a découvert que la version corrigée contenait encore un script suspect, a lancé un avertissement permanent sur la sécurité via les réseaux sociaux. La sécurité, dans cet univers d’actifs numériques, n’est jamais une étape unique, mais un marathon sans fin.

Le silence et la gestion ultérieure de Trust Wallet deviendront un indicateur de la manière dont l’industrie gère les crises de sécurité. Et pour chaque détenteur d’actifs cryptographiques, cet incident est sans doute un rappel lourd mais clair : la véritable sécurité est toujours entre ses mains.