Explication du piratage de TrustWallet : de la mise à jour aux drains de portefeuille d'une valeur de $16M en $TWT, BTC, ETH

Ce qui s’est exactement passé lors de l’incident Trust Wallet

Étape 1 : Une nouvelle mise à jour de l’extension du navigateur a été publiée

Une nouvelle mise à jour pour l’extension Trust Wallet a été publiée le 24 décembre.

• La mise à jour semblait routinière.

• Aucune alerte de sécurité majeure n’a été émise avec.

• Les utilisateurs l’ont installée via le processus de mise à jour habituel.

À ce stade, rien ne semblait suspect.

Étape 2 : Un nouveau code a été ajouté à l’extension

Après la mise à jour, des chercheurs examinant les fichiers de l’extension ont remarqué des modifications dans un fichier JavaScript connu sous le nom de 4482.js.

Observation clé :

• Le nouveau code n’était pas présent dans les versions antérieures.

• Il introduisait des requêtes réseau liées aux actions de l’utilisateur.

Cela est important car les portefeuilles de navigateur sont des environnements très sensibles ; toute nouvelle logique sortante présente un risque élevé.

Étape 3 : Le code se faisait passer pour de “l’Analytics”

La logique ajoutée apparaissait comme un code d’analyse ou de télémétrie.

Plus précisément :

• Elle ressemblait à une logique de suivi utilisée par des SDK d’analyse courants.

• Elle ne se déclenchait pas tout le temps.

• Elle ne s’activait que dans certaines conditions.

Ce design rendait plus difficile sa détection lors de tests occasionnels.

Étape 4 : Condition de déclenchement — Importation d’une phrase de récupération

Une rétro-ingénierie communautaire suggère que la logique se déclenchait lorsqu’un utilisateur importait une phrase de récupération dans l’extension.

Pourquoi c’est critique :

• Importer une phrase de récupération donne au portefeuille un contrôle total.

• C’est un moment unique et de grande valeur.

• Tout code malveillant n’a besoin d’agir qu’une seule fois.

Les utilisateurs n’utilisant que des portefeuilles existants n’ont peut-être pas déclenché cette étape.

Étape 5 : Les données du portefeuille ont été envoyées à l’extérieur

Lorsque la condition de déclenchement s’est produite, le code aurait envoyé des données à un endpoint externe :

metrics-trustwallet[.]com

Ce qui a alarmé :

• Le domaine ressemblait beaucoup à un sous-domaine légitime de Trust Wallet.

• Il a été enregistré seulement quelques jours plus tôt.

• Il n’était pas documenté publiquement.

• Il est ensuite devenu hors ligne.

Au moins, cela confirme une communication sortante inattendue depuis l’extension du portefeuille.

Étape 6 : Les attaquants ont agi immédiatement

Peu après l’importation de la phrase de récupération, des utilisateurs ont signalé :

• Des portefeuilles vidés en quelques minutes.

• Plusieurs actifs déplacés rapidement.

• Aucune interaction supplémentaire de l’utilisateur n’était nécessaire.

Le comportement sur la blockchain montrait :

• Des modèles de transactions automatisés.

• Plusieurs adresses de destination.

• Aucun flux d’approbation de phishing évident.

Cela suggère que les attaquants avaient déjà suffisamment d’accès pour signer des transactions.

Étape 7 : Les fonds ont été consolidés entre plusieurs adresses

Les actifs volés ont été routés via plusieurs portefeuilles contrôlés par les attaquants.

Pourquoi cela importe :

• Cela suggère une coordination ou un script automatisé.

• Cela réduit la dépendance à une seule adresse.

• Cela correspond à un comportement observé dans des exploits organisés.

Les estimations basées sur les adresses suivies suggèrent que des millions de dollars ont été déplacés, bien que les totaux varient.

Étape 8 : Le domaine est devenu inactif

Après une attention accrue :

• Le domaine suspect a cessé de répondre.

• Aucune explication publique n’a suivi immédiatement.

• Les captures d’écran et les preuves en cache sont devenues cruciales.

Cela est cohérent avec l’idée que les attaquants détruisent leur infrastructure une fois exposée.

Étape 9 : La reconnaissance officielle est venue plus tard

Trust Wallet a ensuite confirmé :

• Qu’un incident de sécurité a affecté une version spécifique de l’extension du navigateur.

• Les utilisateurs mobiles n’ont pas été affectés.

• Les utilisateurs doivent mettre à jour ou désactiver l’extension.

Cependant, aucune explication technique complète n’a été donnée immédiatement pour expliquer :

• Pourquoi le domaine existait.

• Si des phrases de récupération ont été exposées.

• Si cela concernait un problème interne, d’un tiers ou externe.

Cet écart a alimenté des spéculations continues.

Ce qui est confirmé

• Une mise à jour de l’extension du navigateur a introduit un comportement sortant nouveau.

• Les utilisateurs ont perdu des fonds peu après l’importation de phrases de récupération.

• L’incident était limité à une version spécifique.

• Trust Wallet a reconnu un problème de sécurité.

Ce qui est fortement suspecté

• Un problème dans la chaîne d’approvisionnement ou une injection de code malveillant.

• La divulgation des phrases de récupération ou de la capacité de signer.

• La logique d’analyse étant détournée ou utilisée comme arme.

Ce qui reste inconnu

• Si le code était intentionnellement malveillant ou compromis en amont.

• Combien d’utilisateurs ont été affectés.

• Si d’autres données ont été compromises.

• L’attribution exacte des attaquants.

Pourquoi cet incident est important

Ce n’était pas un phishing typique.

Il met en lumière :

• Le danger des extensions de navigateur.

• Le risque de faire confiance aveuglément aux mises à jour.

• Comment le code d’analyse peut être détourné.

• Pourquoi la gestion des phrases de récupération est le moment le plus critique dans la sécurité du portefeuille.

Même une vulnérabilité de courte durée peut avoir des conséquences graves.