Une mise à jour de routine de l’extension Chrome s’est transformée en le point de départ d’un vaste détournement d’actifs cryptographiques. Le 24 décembre, Trust Wallet a publié une mise à jour de son extension Chrome, la version 2.68, via le Chrome Web Store.
Le 25 décembre, jour de Noël, les premières victimes se sont réveillées pour découvrir que les fonds de leur portefeuille avaient été transférés sans autorisation. L’enquêteur blockchain ZachXBT a rapidement lancé une investigation et diffusé une alerte urgente dans des groupes Telegram.
Au fil de l’enquête, l’ampleur de l’incident s’est précisée : seuls les utilisateurs de la version 2.68 de l’extension navigateur ont été touchés ; les versions mobiles et autres sont restées sécurisées.
01 Aperçu de l’incident : faille de sécurité à Noël et réaction de la communauté
Le 25 décembre 2025—un jour censé être festif—s’est transformé en cauchemar pour des centaines d’utilisateurs de Trust Wallet. L’expert on-chain ZachXBT a tiré la sonnette d’alarme, signalant que des centaines d’utilisateurs s’étaient fait dérober leurs fonds sur la plateforme Trust Wallet, avec des pertes atteignant déjà au moins 6 millions de dollars.
Trust Wallet, portefeuille de cryptomonnaies sous la bannière de Binance, revendique des dizaines de millions d’utilisateurs. En tant que portefeuille non-custodial de référence, il prend en charge les principales blockchains comme Ethereum et Binance Smart Chain, et s’intègre étroitement à de nombreuses plateformes DeFi.
Suite à la faille, Trust Wallet a officiellement publié une alerte de sécurité, confirmant une vulnérabilité sur la version 2.68 de l’extension navigateur et a urgemment déployé une version corrigée, la 2.69.
Le fondateur de Binance, CZ, a également réagi sur les réseaux sociaux, indiquant que les pertes totales liées à la vulnérabilité s’élevaient à environ 7 millions de dollars, et a assuré que la plateforme indemniserait intégralement les utilisateurs concernés, affirmant que les fonds sont "SAFU" (Secure Asset Fund for Users).
02 Chronologie de l’attaque : un vol de Noël minutieusement orchestré
La chronologie de cette faille révèle une préparation méticuleuse des attaquants. Le 24 décembre, veille de Noël, Trust Wallet a publié la mise à jour de l’extension sur le Chrome Web Store. La plupart des utilisateurs, pris dans l’ambiance festive, ont effectué la mise à jour automatiquement ou manuellement.
Quelques heures plus tard, dans la matinée du 25 décembre (heure de la côte Est des États-Unis, du petit matin à la fin de matinée), les premières victimes ont constaté des transferts non autorisés de leurs fonds. Après avoir reçu plusieurs signalements, ZachXBT a publié une alerte publique sur Telegram vers midi, heure locale.
Les transferts frauduleux se sont poursuivis pendant plus de 30 heures, couvrant une période significative depuis les premiers signalements. Pendant ce vol continu, les comptes officiels de Trust Wallet publiaient encore des messages de vœux et des campagnes marketing, un contraste qui a alimenté le mécontentement au sein de la communauté.
Ce n’est que le 26 décembre—plus de 30 heures après le début de l’incident—que les représentants de Trust Wallet ont publiquement reconnu la vulnérabilité de l’extension navigateur. Ce délai de réaction a suscité de nombreuses critiques et renforcé les inquiétudes des utilisateurs.
03 Analyse technique : la vulnérabilité fatale de l’extension navigateur
Les experts en sécurité estiment que l’attaque a pu être menée de deux façons : soit un code malveillant a été délibérément injecté lors de la mise à jour, soit une vulnérabilité exploitable a été introduite par inadvertance.
Les droits élevés des extensions Chrome en font des cibles privilégiées pour les attaquants. Ces extensions peuvent lire et modifier tout le contenu web consulté par l’utilisateur, intercepter les requêtes réseau, injecter des scripts arbitraires, et même accéder au stockage local.
Le CISO de SlowMist a précisé que cette faille pourrait provenir d’un compromis des appareils des développeurs ou du dépôt de code, et que des utilisateurs continuent d’être touchés. Cette analyse met en lumière la menace des attaques sur la chaîne d’approvisionnement : il n’est pas nécessaire de compromettre directement l’application du portefeuille ; il suffit d’agir sur une dépendance en amont.
Les recherches en sécurité montrent que les portefeuilles navigateur présentent trois risques systémiques : les mises à jour automatiques forcent les utilisateurs à accepter les nouvelles versions sans audit de code ; l’abus des permissions permet à des extensions légitimes d’intégrer du code malveillant lors des mises à jour ; les vulnérabilités dans la chaîne de dépendances exposent les applications sans que les utilisateurs en aient connaissance.
04 Traçabilité des fonds : le circuit de blanchiment du hacker
Selon les données de surveillance de PeckShield, lors de l’exploitation de Trust Wallet, les hackers ont dérobé plus de 6 millions de dollars d’actifs cryptographiques aux victimes. Ces fonds ont été transférés rapidement et automatiquement vers un ensemble de portefeuilles contrôlés par les attaquants.
L’analyse des flux financiers révèle un processus de blanchiment systématique :
| Statut des fonds | Montant (USD approx.) | Destination principale ou remarques |
|---|---|---|
| Toujours dans les portefeuilles du hacker | 2,8 millions $ | Répartis sur les réseaux Bitcoin, EVM et Solana |
| Transférés vers des plateformes centralisées | Plus de 4 millions $ | Envoyés vers ChangeNOW, FixedFloat, KuCoin et autres |
Plus précisément, environ 3,3 millions de dollars ont été envoyés à ChangeNOW, près de 340 000 $ à FixedFloat, et environ 447 000 $ à KuCoin. Ce schéma de transferts rapides et dispersés est typique des failles sur les extensions ou interfaces, conçu pour rendre le traçage plus complexe.
Les analystes on-chain ont constaté qu’un portefeuille EVM nouvellement créé a reçu des transactions allant de fractions d’ETH jusqu’à 7 ETH. Une adresse détient encore plus de 255 ETH, soit environ 750 000 $.
Sur le réseau Bitcoin, une seule adresse a reçu plus de 12 BTC (valeur supérieure à 1 million de dollars) via 66 transactions, tandis que d’autres portefeuilles ont cumulé 1,5 BTC.
05 Impact sur le marché et performance des tokens
L’incident Trust Wallet n’a pas seulement touché les victimes directes, il a également provoqué des remous sur l’ensemble du marché crypto. En tant que jeton utilitaire natif de l’écosystème, le Trust Wallet Token (TWT) pourrait subir une pression baissière.
Le fondateur de SlowMist, Yu Jin, a souligné que l’attaquant semblait très familier avec le code source de l’extension Trust Wallet, y injectant PostHog JS afin de collecter une large gamme de données sur les portefeuilles utilisateurs. Fait préoccupant, la version corrigée de Trust Wallet n’a pas retiré le script PostHog JS.
Historiquement, des incidents similaires ont entraîné une baisse de 10 à 20 % du prix des tokens concernés en 24 heures, avec une forte augmentation des volumes d’échange liée à la panique. Cet événement pourrait également inciter les investisseurs à se tourner vers des actifs jugés plus sûrs comme Bitcoin et Ethereum.
Au 26 décembre, les données de la plateforme Gate indiquent un sentiment de marché prudent, les investisseurs accordant une attention accrue aux problématiques de sécurité des portefeuilles. Bien que CZ ait promis une compensation totale, le rétablissement de la confiance prendra du temps.
06 Guide utilisateur et recommandations de sécurité
Si vous êtes un utilisateur potentiellement concerné de Trust Wallet, voici les mesures à prendre immédiatement :
Étape 1 : Vérification et isolement. Consultez l’historique de vos transactions sur les 48 dernières heures, en surveillant tout transfert non autorisé de tokens, interaction avec des contrats ou autorisation de signature. En cas d’activité suspecte, désactivez immédiatement l’extension Trust Wallet Chrome en vous rendant sur chrome://extensions et en la supprimant ou la désactivant.
Étape 2 : Récupération des actifs. Utilisez Revoke.cash ou la fonctionnalité Token Approvals d’Etherscan pour révoquer toutes les autorisations DeFi. Créez un nouveau portefeuille avec une phrase de récupération fraîchement générée—ne restaurez pas à partir de votre ancien portefeuille. Transférez les actifs restants vers ce nouveau portefeuille et évitez d’utiliser des appareils potentiellement compromis.
Étape 3 : Signalement et défense. ZachXBT recommande aux victimes de contacter proactivement les autorités et de fournir des relevés détaillés de transactions. Même si les cas de vol crypto aboutissent rarement, établir un dossier officiel est essentiel pour d’éventuelles actions collectives ou demandes d’indemnisation.
Pour les utilisateurs Trust Wallet non impactés, les mesures préventives incluent : cesser d’utiliser l’extension Chrome, privilégier les applications mobiles ou les portefeuilles physiques ; revoir et révoquer les autorisations inutiles sur les contrats DeFi ; éviter de signer de nouvelles transactions ou approbations tant que la situation n’est pas clarifiée ; sauvegarder régulièrement votre phrase de récupération et la conserver hors ligne ; envisager de transférer les actifs importants vers un portefeuille matériel.
Le centre d’assistance officiel de Trust Wallet a détaillé le processus d’indemnisation, et les victimes peuvent enregistrer leur demande via ce canal. ZachXBT a précisé que si la responsabilité de Trust Wallet est avérée, la plateforme pourrait devoir indemniser les utilisateurs concernés.
Perspectives
Avec plus de 4 millions de dollars déjà transférés vers des plateformes telles que ChangeNOW, FixedFloat et KuCoin, les répercussions de ce vol de Noël continuent de se faire sentir dans l’écosystème crypto. Selon PeckShield, environ 2,8 millions de dollars demeurent dans des portefeuilles contrôlés par les hackers.
Yu Jin, l’expert sécurité qui a découvert la présence persistante du script suspect dans la version corrigée, continue d’alerter la communauté sur les réseaux sociaux. Dans l’univers des actifs numériques, la sécurité n’est jamais un événement ponctuel—c’est un marathon sans fin.
Le silence initial de Trust Wallet et ses actions ultérieures façonneront la manière dont l’industrie réagira à ce type de crise. Pour chaque détenteur d’actifs cryptographiques, cet incident constitue un rappel clair et salutaire : la véritable sécurité reste toujours entre vos mains.
