Trust Wallet a confirmé qu’environ 7 millions de dollars en cryptomonnaies ont été volés via une mise à jour compromise de son extension de navigateur.
La faille a touché uniquement la version 2.68 de l’extension Chrome, publiée le 24 décembre.
D’après l’entreprise, les utilisateurs du portefeuille mobile n’ont pas été affectés.
Changpeng Zhao, fondateur de Binance, propriétaire de Trust Wallet, a déclaré que le portefeuille indemniserait tous les utilisateurs touchés.
« Pour l’instant, 7 M$ ont été affectés par ce piratage. Trust Wallet prendra en charge. Les fonds des utilisateurs sont SAFU », a écrit Zhao sur X.
Ce qui s’est passé
L’enquêteur on-chain ZachXBT a été le premier à signaler l’incident le 25 décembre, après avoir reçu des rapports de retraits de fonds rapides provenant d’utilisateurs de Trust Wallet.
Les pertes sont survenues en quelques heures après la mise à jour de l’extension, ce qui suggère un compromis de la chaîne d’approvisionnement.
La société de cybersécurité SlowMist a analysé le code malveillant et a constaté qu’il avait été injecté directement dans le code source de Trust Wallet plutôt que via une bibliothèque tierce compromise.
Le code de porte dérobée collectait les phrases de récupération chiffrées des utilisateurs lorsque les portefeuilles étaient déverrouillés, puis envoyait ces données vers un domaine contrôlé par les attaquants, enregistré le 8 décembre.
L’analyse de SlowMist indique que les attaquants ont commencé leurs préparatifs au moins deux semaines avant le déploiement de la mise à jour malveillante.
Les fonds volés comprenaient du Bitcoin, de l’Ethereum et des actifs sur plusieurs réseaux blockchain.
Certains utilisateurs individuels ont signalé des pertes de plus de 300 000 dollars en quelques minutes après l’accès à leur portefeuille.
Trust Wallet a immédiatement exhorté les utilisateurs à désactiver la version 2.68 et à passer à la version corrigée 2.69 via le Chrome Web Store officiel.
À lire aussi : Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
Pourquoi c’est important
L’incident met en évidence la persistance de vulnérabilités de sécurité dans les portefeuilles de cryptomonnaies basés sur navigateur, malgré les efforts de l’industrie pour renforcer les protections.
Contrairement aux attaques visant des utilisateurs individuels via du phishing, cette attaque a infiltré le canal de distribution officiel de Trust Wallet, touchant des utilisateurs qui suivaient pourtant les bonnes pratiques de sécurité.
Les attaques sur la chaîne d’approvisionnement visant l’infrastructure crypto ont fortement augmenté en 2024.
La société de sécurité blockchain Chainalysis a rapporté que les vols de cryptomonnaies avaient dépassé 3,41 milliards de dollars début décembre, contre 3,38 milliards pour l’ensemble de 2023.
La faille de Trust Wallet représente le deuxième incident de sécurité majeur pour l’extension de navigateur du portefeuille.
En 2023, l’équipe de sécurité du fabricant de portefeuilles matériels Ledger a découvert une vulnérabilité critique dans l’extension Chrome de Trust Wallet qui réduisait l’entropie de sécurité de 256 bits à seulement 32 bits.
Le directeur technique de Ledger, Charles Guillemet, a déclaré que la faille de 2023 aurait pu permettre à des attaquants de vider les portefeuilles sans aucune interaction de l’utilisateur.
Cette vulnérabilité avait été identifiée et corrigée avant qu’une exploitation à grande échelle ne se produise.
Le dernier incident souligne pourquoi les portefeuilles matériels, qui stockent les clés privées hors ligne, restent l’option la plus sûre pour des montants importants de cryptomonnaies.
Les extensions de navigateur nécessitent de larges permissions système et dépendent de la sécurité à la fois du code de l’extension et de l’ordinateur de l’utilisateur, ce qui crée de multiples vecteurs d’attaque potentiels.
À lire aussi : SHIB Price Defies 5,000% Long-Biased Liquidation Wave