Trust Wallet commence la compensation pour les victimes du piratage de l'extension de navigateur $7 millions

Source : CryptoTicker Titre original : Trust Wallet commence à indemniser les victimes du piratage de $7 millions d’extensions de navigateur Lien original : https://cryptoticker.io/en/trust-wallet-begins-compensation-for-victims-of-dollar7-million-browser-extension-hack/ Lorsqu’un fournisseur de portefeuille évoque l’auto-garde, les utilisateurs s’attendent à ce que la couche logicielle soit infaillible. Cette confiance a été mise à mal cette semaine après que Trust Wallet a confirmé qu’une mise à jour malveillante de son extension Chrome avait conduit au vol d’environ $7 millions d’actifs numériques. La société indique maintenant qu’elle agit rapidement pour indemniser les utilisateurs affectés.

Deux jours après la découverte de la faille, Trust Wallet a annoncé avoir lancé un processus officiel de compensation pour les victimes impactées par la version 2.68 de son extension Chrome, compromise.

Comment fonctionne le processus de compensation

Trust Wallet a ouvert un portail de réclamations officiel où les utilisateurs affectés peuvent soumettre leurs détails concernant l’attaque. Le formulaire demande des informations d’identification de base telles que l’adresse email et le pays, ainsi que des preuves techniques incluant des adresses de portefeuilles compromises, des adresses de réception des attaquants et des hash de transactions.

La société précise que chaque soumission sera examinée individuellement. Selon Trust Wallet, cette vérification est essentielle pour éviter les erreurs, les fausses déclarations ou toute utilisation abusive supplémentaire de la situation.

Dans un communiqué public, la société a indiqué qu’elle travaille sans relâche pour finaliser la compensation et garantir la précision tout en maintenant la sécurité tout au long du processus.

Ce qui a été volé et où sont passés les fonds

La faille a entraîné des pertes sur plusieurs blockchains, notamment Bitcoin, Ethereum et Solana. La société de sécurité blockchain PeckShield estime que plus de $4 millions de fonds volés ont déjà transité par des plateformes centralisées telles que ChangeNOW, FixedFloat, et d’autres grandes plateformes.

Selon les dernières données on-chain, environ 2,8 millions de dollars restent dans des portefeuilles contrôlés par l’attaquant.

Couverture des pertes confirmée

Pour rassurer les utilisateurs, un fondateur d’une plateforme d’échange majeure a confirmé publiquement que toutes les pertes vérifiées seront couvertes. Dans un communiqué, il a été indiqué qu’environ $7 millions ont été affectés et que Trust Wallet indemnisera intégralement les utilisateurs, en insistant sur le fait que les fonds des utilisateurs restent sécurisés.

Comment l’attaque s’est produite

L’incident a été révélé pour la première fois après que ZachXBT, un enquêteur on-chain, a averti que plusieurs utilisateurs de Trust Wallet signalaient des soldes vidés peu après l’installation de la mise à jour du 24 décembre.

L’enquête interne de Trust Wallet a révélé qu’une clé API du Chrome Web Store fuitée avait été utilisée pour publier la mise à jour malveillante de l’extension à 12h32 UTC le 24 décembre. Cela a permis aux attaquants de contourner les contrôles internes de publication de la société.

La société de sécurité SlowMist a ensuite identifié le code malveillant, qui exploitait une bibliothèque d’analyse open source modifiée pour récolter les phrases de récupération des portefeuilles. Une fois compromis, les attaquants pouvaient rapidement vider les fonds sans interaction supplémentaire de l’utilisateur.

Qui a été affecté et qui ne l’a pas été

Seuls les utilisateurs de l’extension Chrome utilisant la version 2.68 ont été impactés. Trust Wallet a publié une version corrigée, la 2.69, le 25 décembre. Selon la CEO Eowyn Chen, les utilisateurs qui se sont connectés à l’extension avant le 26 décembre à 11h UTC ont été potentiellement exposés.

Les utilisateurs de l’application mobile et ceux utilisant d’autres versions de l’extension sur navigateur n’ont pas été affectés. L’extension Chrome compte près d’un million d’utilisateurs, selon sa fiche sur le Web Store.

Alerte contre les scams de fausses indemnisations

Trust Wallet invite également les utilisateurs à rester vigilants. Suite à la faille, des faux formulaires de réclamation et des scams d’usurpation d’identité ont déjà commencé à circuler. La société insiste pour que les réclamations ne soient soumises que via son portail officiel de support et met en garde contre le partage de phrases de récupération ou de clés privées en aucune circonstance.

Ce que cela signifie pour l’avenir

Cet incident rappelle que même les fournisseurs de portefeuilles bien connus restent exposés aux risques de la chaîne d’approvisionnement, notamment via les extensions de navigateur. Si la décision de Trust Wallet de compenser intégralement les utilisateurs contribue à restaurer la confiance, cette faille souligne à quel point une seule fuite de credential peut entraîner des pertes de plusieurs millions.

Pour les utilisateurs, la leçon est simple mais inconfortable. Les mises à jour comptent, la vérification est essentielle, et les extensions de navigateur restent l’une des cibles les plus faibles dans l’écosystème crypto.