Trust Wallet se retrouve confronté à de nombreuses réclamations frauduleuses suite au piratage d'une extension Chrome de 7 millions
Trust Wallet a récemment subi un piratage majeur qui a compromis 2 596 adresses de portefeuille, entraînant des pertes d’environ 7 millions de dollars. En dépit de ce nombre, l’entreprise a reçu près de 5 000 demandes de remboursement, révélant une forte proportion de soumissions potentiellement frauduleuses. Le PDG Eowyn Chen souligne la nécessité d'une vérification rigoureuse pour s'assurer que les fonds retournent aux victimes légitimes.
L'attaque a été facilitée par une fuite technique
Le piratage a eu lieu grâce à une fuite d’une clé API du Chrome Web Store, permettant aux attaquants de contourner les mesures de sécurité internes. Le 24 décembre à 12h32 UTC, la version compromise 2.68 de l’extension Chrome a été mise en ligne sur le magasin officiel. Selon l'analyse menée par la société SlowMist, le code malveillant était dissimulé dans une bibliothèque d’analyse modifiée nommée posthog-js. Lorsque les utilisateurs déverrouillaient leur portefeuille, leurs phrases secrètes étaient extraites et envoyées vers un serveur contrôlé par les pirates.
Le domaine utilisé pour collecter ces données volées, « api.metrics-trustwallet.com », avait été enregistré le 8 décembre, indiquant que cette attaque avait été planifiée plusieurs semaines en amont. L'enquêteur ZachXBT avait signalé le problème dès Noël après que plusieurs utilisateurs ont constaté que leurs portefeuilles avaient été vidés.
Source : @EowynChen
Une version corrigée (2.69) a été lancée le 25 décembre ; toutefois, seuls les utilisateurs connectés avant le 26 décembre à 11 heures UTC ont été affectés. Les utilisateurs d’applications mobiles et d’autres navigateurs n’ont pas rencontré ce problème.
Des soupçons sur une éventuelle implication interne émergent
Plusieurs figures influentes du secteur expriment des craintes quant à une possible implication interne dans cette attaque. Changpeng Zhao, co-fondateur de Binance – propriétaire de Trust Wallet –, estime que cet exploit pourrait « très probablement » avoir été orchestré par un initié sans fournir plus d'éléments probants.
Yu Xian, co-fondateur de SlowMist, fait remarquer que l’attaquant semblait bien connaître le code source et avait préparé son infrastructure avant même l'exécution du vol. Chen confirme qu'une enquête médico-légale est en cours mais n’a pas confirmé si des personnes internes sont impliquées.
L'ampleur des pertes financières reste préoccupante
L’attaque aurait causé environ 7 millions de dollars perdus en diverses crypto-monnaies telles que Bitcoin, Ethereum et Solana. La société PeckShield rapporte avoir suivi plus de 4 millions de dollars transitant via différents échanges centralisés comme ChangeNOW et KuCoin jusqu'au 26 décembre, laissant encore environ 2,8 millions de dollars sous contrôle des attaquants.
La rapidité avec laquelle ces fonds se déplacent complique considérablement les efforts pour récupérer l’argent volé tout en rendant difficile la localisation des responsables.
Le processus indemnitaire devient complexe face aux fraudes
Zhao s’est engagé à couvrir toutes les pertes avérées des utilisateurs en affirmant que « les fonds des utilisateurs sont SAFU ». Cependant, Trust Wallet doit maintenant faire face à la complexité croissante du processus vérification suite au grand nombre réclamations frauduleuses reçues.
Afin d'obtenir un remboursement, Trust Wallet exige désormais que les victimes soumettent un formulaire détaillé incluant adresses e-mail et portefeuilles concernés ainsi que détails sur les transactions compromettantes. Chen insiste sur le fait que désormais la précision prime sur la rapidité dans ce processus crucial.
Alerte contre les escroqueries secondaires liées au piratage
Trust Wallet met également en garde contre des tentatives frauduleuses utilisant cette situation confuse pour tromper davantage ses clients. Des faux formulaires circulent via Telegram et autres canaux usurpés demandant clés privées ou phrases secrètes. Le processus officiel ne devrait jamais demander ces informations sensibles ; il est essentiel pour tous les utilisateurs d’interagir uniquement via trustwallet-support.freshdesk.com, toute autre communication pouvant être suspecte.
L'incident révèle des failles systémiques dans la sécurité cryptographique
Cet incident souligne une tendance inquiétante concernant la sécurité dans le milieu cryptographique avec un total estimé à 6,75 milliards de dollars volés depuis début 2024 selon Chainalysis ; cela inclut notamment *158 000* compromissions supplémentaires comparativement aux *64 000* enregistrées précédemment. Les extensions navigateur posent unique défis car elles possèdent accès accru aux données sensibles utilisateur ; ainsi une seule mise à jour compromise peut toucher simultanément plusieurs centaines milliers d’utilisateurs.
Démarches futures prises par Trust Wallet après l’incident
Pour limiter tels incidents futurs , Trust Wallet bloque toutes mises à jour non autorisées pendant deux semaines suivantes tandis qu’il examine comment renforcer sa sécurité autour clé API compromise. Malgré cela demeurent interrogations quant provenance exacte clé API ayant permis cette violation ; aucune annonce concrète n'a encore été faite concernant améliorations spécifiques au niveau publication futures.
L'incident rappelle aussi aux détenteurs crypto-monnaies importance vigilance face mises jour logiciels ; experts conseillent attendre confirmation communautaire avant installation tout changement logiciel potentiel. Alors même Trust Wallet travaille activement traitement réclamations massives déposées , capacité entreprise identifier efficacement véritables victimes déterminera comment fournisseurs similaires aborderont crises sécuritaires prochaines.
