Trust Wallet fait face à une vague de réclamations frauduleuses après le piratage d'une extension Chrome de 7 millions de dollars

La PDG Eowyn Chen a révélé lundi que Trust Wallet avait identifié 2 596 adresses de portefeuilles compromises suite au piratage du 24 décembre. Cependant, l'entreprise a reçu près de 5 000 réclamations de remboursement — un écart qui indique des soumissions frauduleuses généralisées.

« Pour cette raison, une vérification précise de la propriété du portefeuille est essentielle pour garantir que les fonds sont restitués aux bonnes personnes », a déclaré Chen. « Notre équipe travaille assidûment pour vérifier les réclamations ; en combinant plusieurs points de données pour distinguer les victimes légitimes des acteurs malveillants. »

L'écart massif entre les victimes réelles et le total des réclamations a forcé Trust Wallet à abandonner la rapidité au profit de la précision, marquant un pivot opérationnel significatif dans l'un des incidents de sécurité crypto les plus notables de l'année.

Comment l'attaque s'est déroulée

La violation a commencé lorsque les attaquants ont obtenu une clé API divulguée du Chrome Web Store, leur permettant de contourner les contrôles de sécurité internes de Trust Wallet. Le 24 décembre à 12 h 32 UTC, la version compromise 2.68 de l'extension Chrome a été mise en ligne sur le magasin officiel de Google.

Selon l'analyse de la société de sécurité blockchain SlowMist, le code malveillant était soigneusement caché dans une bibliothèque d'analyse modifiée appelée posthog-js. Lorsque les utilisateurs déverrouillaient leurs portefeuilles, le code extrayait secrètement leurs phrases de récupération — les clés principales des portefeuilles de crypto-monnaies — et les envoyait à un serveur contrôlé par les attaquants.

Le domaine utilisé pour collecter les données volées, « api.metrics-trustwallet.com », a été enregistré le 8 décembre, suggérant que l'attaque était planifiée au moins deux semaines à l'avance. L'enquêteur en crypto-monnaies ZachXBT a d'abord signalé le problème le jour de Noël après que des centaines d'utilisateurs ont signalé des portefeuilles vidés.

Source : @EowynChen

Trust Wallet a déployé une version corrigée 2.69 le 25 décembre. La violation n'a affecté que les utilisateurs de l'extension Chrome qui se sont connectés avant le 26 décembre à 11 h UTC. Les utilisateurs de l'application mobile et des autres versions de navigateurs sont restés en sécurité.

La question de l'initié

Plusieurs personnalités de l'industrie ont exprimé des inquiétudes concernant une éventuelle implication d'un initié dans l'attaque. Le co-fondateur de Binance, Changpeng Zhao, dont l'entreprise possède Trust Wallet, a déclaré que l'exploit était « très probablement » réalisé par un initié, bien qu'il n'ait fourni aucune preuve supplémentaire.

Le co-fondateur de SlowMist, Yu Xian, a noté que l'attaquant démontrait une connaissance détaillée du code source de l'extension et avait préparé l'infrastructure des semaines avant d'exécuter le vol. La capacité à obtenir et à utiliser à mauvais escient une clé API du Chrome Web Store suggère soit des appareils de développeurs compromis, soit des permissions de déploiement volées.

Chen a confirmé que l'entreprise mène une enquête médico-légale plus large parallèlement au processus de compensation, mais n'a pas confirmé si des initiés étaient impliqués.

Fonds volés et blanchiment d'argent

L'attaque a entraîné environ 7 millions de dollars de pertes sur plusieurs crypto-monnaies, notamment Bitcoin, Ethereum et Solana. La société de sécurité blockchain PeckShield a suivi plus de 4 millions de dollars de fonds volés transitant par des plateformes d'échange centralisées comme ChangeNOW, FixedFloat et KuCoin. Environ 2,8 millions de dollars sont restés dans des portefeuilles contrôlés par les attaquants au 26 décembre.

Le mouvement rapide des fonds à travers plusieurs plateformes d'échange et réseaux blockchain a compliqué les efforts de récupération et rendu le traçage des attaquants plus difficile.

Processus de compensation sous surveillance

Le fondateur de Binance, Zhao, s'est engagé à couvrir toutes les pertes vérifiées, déclarant que « les fonds des utilisateurs sont SAFU » — un terme de l'industrie crypto signifiant « Secure Asset Fund for Users ». Cependant, le processus de vérification est devenu plus complexe que prévu initialement.

Trust Wallet exige que les utilisateurs affectés soumettent des informations détaillées via un formulaire de support officiel, notamment les adresses e-mail, les adresses de portefeuilles compromises, les adresses des attaquants et les hachages de transactions. L'entreprise a souligné que la précision prend désormais la priorité sur la rapidité.

La montée des fausses réclamations met en évidence un problème récurrent dans les incidents de sécurité des crypto-monnaies. Bien que la transparence de la blockchain permette de tracer les incidents, lier les adresses de portefeuilles aux utilisateurs vérifiés sans registres centralisés reste difficile. Cette tension devient aiguë lorsque des millions de dollars sont en jeu.

Chen a déclaré que l'équipe combine plusieurs méthodes de vérification pour évaluer les réclamations, mais n'a pas détaillé les critères spécifiques utilisés. La phase de vérification marque un test critique pour déterminer si Trust Wallet peut filtrer avec succès les soumissions frauduleuses tout en maintenant la confiance parmi les véritables victimes.

Avertissement concernant les escroqueries secondaires

Trust Wallet a émis des avertissements urgents concernant les escrocs exploitant la situation. L'entreprise a signalé avoir vu de faux formulaires de compensation diffusés via des publicités Telegram, des comptes de support usurpés et des messages directs demandant des clés privées ou des phrases de récupération.

Le processus de compensation officiel ne demande jamais de mots de passe, de clés privées ou de phrases de récupération. Les utilisateurs ne doivent soumettre des réclamations que via le portail de support vérifié de Trust Wallet à trustwallet-support.freshdesk.com. Toute autre communication prétendant offrir un remboursement doit être traitée comme frauduleuse.

Cette vague secondaire d'escroqueries en ligne ajoute une autre couche de risque pour les victimes confrontées déjà à des fonds volés. L'entreprise a insisté sur le fait que les utilisateurs doivent vérifier que toutes les communications proviennent des canaux officiels de Trust Wallet avant de prendre toute mesure.

Implications de sécurité plus larges

L'incident Trust Wallet s'inscrit dans un schéma plus large d'attaques de la chaîne d'approvisionnement ciblant les utilisateurs de crypto-monnaies en 2024. Selon les données de Chainalysis, le vol de crypto-monnaies a atteint 6,75 milliards de dollars en 2024, avec des compromissions de portefeuilles personnels passant de 64 000 à 158 000 l'année précédente.

Les extensions de navigateur présentent des défis de sécurité uniques car elles fonctionnent avec des permissions élevées et peuvent accéder à des données utilisateur sensibles. Une seule mise à jour compromise peut affecter des centaines de milliers d'utilisateurs en quelques heures.

L'incident démontre également comment des processus de vérification faibles peuvent transformer une seule violation de sécurité en plusieurs problèmes. Trust Wallet doit maintenant consacrer des ressources importantes au filtrage des fausses réclamations tandis que les véritables victimes attendent une compensation.

L'extension Chrome de Trust Wallet compte environ un million d'utilisateurs selon sa liste officielle, bien que l'exposition pratique dépende du nombre de personnes ayant installé la version 2.68 et saisi des données sensibles pendant la fenêtre de vulnérabilité.

La voie à suivre

Trust Wallet a pris plusieurs mesures pour prévenir de futurs incidents. L'entreprise a expiré toutes les API de version pour bloquer les mises à jour de versions non autorisées pour les deux prochaines semaines. Le domaine malveillant utilisé pour collecter les données volées a été signalé à son registraire et rapidement suspendu.

Cependant, des questions demeurent sur la manière dont les attaquants ont obtenu la clé API du Chrome Web Store et si des mesures de sécurité supplémentaires seront mises en œuvre. L'enquête médico-légale en cours peut fournir des réponses, mais Trust Wallet n'a pas annoncé de changements spécifiques à son processus de publication.

Pour les utilisateurs de crypto-monnaies, l'incident renforce l'importance de traiter les mises à jour de portefeuilles avec une extrême prudence. Les experts en sécurité recommandent d'attendre la confirmation de la communauté avant d'installer des mises à jour et d'envisager des portefeuilles matériels pour les avoirs importants.

Le processus de compensation se poursuit tandis que Trust Wallet traite des milliers de réclamations. La capacité de l'entreprise à identifier avec précision les victimes légitimes tout en bloquant les soumissions frauduleuses influencera probablement la façon dont d'autres fournisseurs de portefeuilles gèrent les futurs incidents de sécurité.

Vérification de la réalité

La violation de Trust Wallet expose deux vulnérabilités critiques dans la sécurité des crypto-monnaies : les attaques de la chaîne d'approvisionnement peuvent contourner même des systèmes de sécurité bien conçus, et les processus de compensation deviennent eux-mêmes des cibles de fraude. Alors que Trust Wallet navigue dans la vérification de près de 5 000 réclamations pour 2 596 victimes réelles, l'incident sert de rappel coûteux que dans la sécurité crypto, le nettoyage peut être aussi difficile que la violation elle-même.