Trust Wallet a révélé les détails du piratage de 8,5 millions de dollars - ForkLog : cryptomonnaies, IA, singularité, avenir

2025-12-31 12:35:02

# Trust Wallet révèle les détails du piratage de 8,5 millions de dollars

L’équipe de Trust Wallet a publié un rapport sur l’incident survenu le 26 décembre. Les malfaiteurs ont compromis l’extension de navigateur et ont transféré des actifs d’une valeur de 8,5 millions de dollars.

Selon la déclaration, l’attaque a concerné 2520 adresses. Les développeurs ont promis de compenser intégralement les pertes des victimes.

Comment cela s’est produit

La cause du piratage a été une attaque à grande échelle sur la chaîne d’approvisionnement Sha1-Hulud, détectée dès novembre. À cette époque, les hackers ont obtenu un accès aux secrets des développeurs sur GitHub et à la clé API du Chrome Web Store.

En utilisant les données volées, les malfaiteurs ont :

Téléchargé une version malveillante de l’extension (2.68) sur le Chrome Web Store, en contournant le contrôle interne de Trust Wallet.
Enregistré le domaine metrics-trustwallet.com pour collecter des données sensibles (phrases de récupération et clés privées).
Distribué automatiquement la mise à jour aux utilisateurs après vérification par Google.

La version malveillante a été active du 24 au 26 décembre. Après avoir découvert le problème, l’équipe a ramené l’extension à la version sécurisée 2.69 et a révoqué les clés compromises.

Qui a été touché

La vulnérabilité a concerné uniquement les utilisateurs de l’extension de bureau version 2.68, qui ont accédé à leur portefeuille durant ces dates. L’application mobile Trust Wallet et d’autres versions de l’extension sont restées sécurisées.

Les analystes ont identifié 17 adresses contrôlées par le hacker. Le préjudice total s’élève à 8,5 millions de dollars.

« Nous considérons cet incident non seulement comme une leçon critique pour nous, mais aussi comme un tournant pour toute l’industrie en matière d’attaques sur les chaînes d’approvisionnement », ont déclaré chez Trust Wallet.

Processus de remboursement

La société a déjà commencé à travailler avec les victimes du piratage. Pour obtenir une compensation, les utilisateurs doivent soumettre une demande via le formulaire officiel de support et passer une vérification de propriété du portefeuille.

Trust Wallet a souligné la complexité du processus en raison de l’afflux de fraudeurs. Sur les 2520 adresses concernées, plus de 5000 demandes ont déjà été reçues. L’équipe a appelé les utilisateurs à faire preuve de patience et à se méfier du phishing : le support officiel ne demande jamais de phrases de récupération.

Pour prévenir de telles situations à l’avenir, le projet a renforcé ses mesures de sécurité, notamment par un audit des dépendances du code et une rotation des identifiants.

Rappelons qu’en 2025, le volume des fonds volés via des attaques de phishing a diminué de 83 %, atteignant 83,85 millions de dollars, selon SlowMist.

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.