Le portefeuille de cryptomonnaies Trust Wallet a récemment révélé une vulnérabilité de sécurité dans son extension de navigateur v2.68, entraînant le vol d’environ 7 millions de dollars des fonds des utilisateurs. CZ, le fondateur de Binance, a déclaré que Trust Wallet indemnisera intégralement les utilisateurs affectés et a appelé ceux utilisant cette version à prendre immédiatement des mesures pour sécuriser leur portefeuille.
Les utilisateurs de Trust Wallet ont été victimes, le jour de Noël, d’une attaque exploitant une vulnérabilité soigneusement planifiée, aboutissant à une perte d’environ 7 millions de dollars. Selon certaines sources, cette attaque aurait été en préparation dès début décembre. La société de cybersécurité SlowMist a également indiqué que ces extensions malveillantes continuaient d’exporter les informations personnelles des utilisateurs.
Trust Wallet a précédemment publié sur X que la version 2.68 de son extension de navigateur était affectée par un incident de sécurité, impactant les utilisateurs de bureau, et a conseillé de mettre à jour vers la version 2.69.
Actualité : La vulnérabilité de l’extension Trust Wallet a été révélée, les fonds des utilisateurs volés pour plus de 600 millions de dollars
CZ, co-fondateur de Binance, a indiqué dans un post sur X vendredi que les fonds perdus seraient indemnisés, « cette attaque a causé une perte de 7 millions de dollars. Une indemnisation sera effectuée. La sécurité des fonds des utilisateurs n’est pas compromise ». Il a également mentionné que l’équipe de Trust Wallet continue d’enquêter sur la façon dont le hacker a pu soumettre une nouvelle version.
Jusqu’à présent, $7m affecté par cette attaque. @TrustWallet sera indemnisé. Les fonds des utilisateurs sont SAFU. Nous vous remercions de votre compréhension pour tout désagrément causé. 🙏
L’équipe continue d’enquêter sur la manière dont les hackers ont pu soumettre une nouvelle version.
— CZ 🔶 BNB (@cz_binance) 26 décembre 2025
Les vulnérabilités dans les portefeuilles de cryptomonnaies représentent une menace de plus en plus sérieuse pour les investisseurs en actifs numériques. Selon les données de Chainalysis, le montant volé en 2025 dépasse 3,4 milliards de dollars, dont à lui seul, en février, l’incident de vol chez Bybit a causé une perte finale d’environ 1,5 milliard de dollars. En 2025, le nombre d’incidents de vol de portefeuilles personnels a explosé à 158 000, affectant 80 000 victimes différentes, mais le montant total volé (713 millions de dollars) a diminué par rapport à 2024.
Actualité : Progression de l’enquête sur le vol de 1,4 milliard de dollars chez Bybit : près de 28 % des flux de cryptomonnaies « coupés », 3,84 % des actifs gelés
La faille de Trust Wallet suscite l’inquiétude des observateurs de l’industrie de la cryptomonnaie
Le fondateur de SlowMist, Yu Xian, a publié qu’il avait observé que les planificateurs de l’attaque contre Trust Wallet avaient commencé à préparer dès le 8 décembre.
L’extension de navigateur Trust Wallet vulnérable est la version 2.68.0, la version corrigée est la 2.69.0. En comparant, la différence entre le code normal et le code avec porte dérobée est illustrée ci-dessous.
Le code de porte dérobée a ajouté un PostHog pour collecter diverses informations privées des utilisateurs du portefeuille (y compris la phrase mnémonique), et l’a envoyé au serveur de l’attaquant api.metrics-trustwallet[.]com.
Chronologie estimée : l’attaquant a commencé à préparer au moins le 8 décembre… pic.twitter.com/FOLjD6aPar
— Cos(Yu Xian)😶🌫️ (@evilcos) 26 décembre 2025
Yu Xian a indiqué que la version de l’extension Trust Wallet avec porte dérobée est la 2.68.0, et la version corrigée est la 2.69.0. Il a comparé le code normal et le code avec porte dérobée, « le code de porte dérobée a ajouté un PostHog pour collecter diverses informations privées des utilisateurs du portefeuille (y compris la phrase mnémonique), et l’a envoyé au serveur de l’attaquant api.metrics-trustwallet[.]com. La chronologie estimée : l’attaquant a commencé à préparer au moins le 8 décembre, a réussi à implanter la porte dérobée le 22 décembre, et a commencé à transférer des fonds lors de Noël, ce qui a été découvert ».
Certaines personnes du secteur pensent que cette vulnérabilité pourrait indiquer une activité interne, car l’attaquant aurait pu soumettre une nouvelle version de Trust Wallet sur le site, « cette attaque de hacker n’est pas naturelle. La possibilité d’un acte interne est très élevée. »
Quant à ceux qui pensent que « c’est probablement un membre de l’équipe (en interne) qui a commis l’acte », CZ lui-même a également exprimé cette possibilité. SlowMist a également indiqué que l’attaquant « connaît très bien le code source de l’extension Trust Wallet », ce qui lui permettrait d’implémenter le code de porte dérobée nécessaire pour collecter des informations sensibles des utilisateurs.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
