Trust Wallet Cambriolage de Noël ! ZachXBT avertit que tous ont été volés après la mise à jour de Chrome

Le 25 décembre, jour de Noël, plusieurs utilisateurs de Trust Wallet se sont réveillés pour découvrir que leurs fonds avaient été transférés sans autorisation, montant inconnu. L’enquêteur en blockchain ZachXBT a lancé une alerte urgente dans le groupe Telegram, indiquant que ces vols ont eu lieu après la mise à jour du 24 décembre de l’extension Chrome Trust Wallet, un moment hautement suspect.

Chronologie de l’attaque de Noël : une tempête parfaite en 24 heures

La chronologie des événements montre une planification minutieuse par les attaquants. La veille de Noël, Trust Wallet a publié une mise à jour de l’extension dans le Chrome Web Store, la plupart des utilisateurs ayant automatiquement ou manuellement mis à jour pendant l’ambiance festive. Le matin de Noël, entre environ minuit et midi heure de l’Est américain, les premiers victimes ont constaté des transferts anormaux de fonds. Après avoir reçu plusieurs rapports, ZachXBT a publié une alerte publique à midi, exhortant les utilisateurs de Trust Wallet à vérifier immédiatement leurs portefeuilles.

Le choix du moment festif n’est pas une coïncidence. Pendant cette période, l’équipe de développement réduit ses effectifs, la réponse du service client est retardée, et la vigilance des utilisateurs diminue, créant une fenêtre d’opportunité pour les attaquants. Une stratégie similaire a été utilisée lors de l’attaque du portefeuille Slope en 2022, où les attaquants ont exploité le week-end pour dérober plus de 8 000 portefeuilles Solana. Le silence de Trust Wallet a accentué la panique, les utilisateurs se plaignant sur les réseaux sociaux de l’impossibilité de contacter le support officiel pour obtenir une réponse claire.

ZachXBT a souligné dans son alerte que « la cause exacte n’a pas encore été déterminée », mais a pointé du doigt la mise à jour de l’extension Chrome. Ce détail est crucial, car il oriente l’enquête d’un éventuel erreur utilisateur vers une faille systémique. Si la cause s’avère être un problème avec l’extension elle-même, Trust Wallet fera face à d’importants risques juridiques et de réputation. Actuellement, ZachXBT collecte les adresses des portefeuilles victimes, tentant de suivre la provenance des fonds volés et d’identifier le mode opératoire de l’attaque.

Extension Chrome : le cheval de Troie des portefeuilles cryptographiques

Les extensions de navigateur avec des permissions élevées sont une cible idéale pour les attaquants. Les extensions Chrome peuvent lire et modifier tout le contenu des pages web visitées, intercepter les requêtes réseau, injecter des scripts arbitraires, voire accéder au stockage local. Pour une extension de portefeuille cryptographique, ces permissions signifient qu’elle peut : capturer les phrases mnémoniques et clés privées entrées par l’utilisateur, modifier les adresses et montants des transactions, intercepter les demandes de signature et remplacer les données de transaction, ainsi qu’accéder aux sessions cryptées stockées dans le navigateur.

Les chercheurs en sécurité ont à plusieurs reprises averti qu’une mise à jour malveillante ou une dépendance compromise peut mettre des millions d’utilisateurs en danger. En novembre 2023, une bibliothèque populaire appelée « Ledger Connect Kit » a été compromise, affectant plusieurs front-ends DeFi et causant des pertes supérieures à 480 000 dollars. Cette attaque démontre la puissance des attaques par chaîne d’approvisionnement : les attaquants n’ont pas besoin d’infiltrer directement l’application portefeuille, il leur suffit de contrôler une dépendance en amont.

Trois risques systémiques majeurs pour les portefeuilles de navigateur

Mécanisme de mise à jour automatique : l’extension se met à jour par défaut sans que l’utilisateur puisse examiner le code, acceptant ainsi la nouvelle version

Abus de permissions : une extension légitime peut ajouter du code malveillant lors d’une mise à jour, exploitant ses permissions étendues pour voler des actifs

Vulnérabilités de la chaîne de dépendances : si une bibliothèque tierce sur laquelle repose le portefeuille est compromise, tous les utilisateurs en aval sont affectés sans le savoir

Plusieurs menaces similaires ont émergé ces derniers mois. Des rapports de sociétés de sécurité indiquent que certains faux portefeuilles sont conçus spécifiquement pour voler les phrases mnémoniques, permettant aux attaquants de reconstruire entièrement le portefeuille et de voler les fonds ultérieurement. Des attaques plus insidieuses proviennent d’extensions « assistant » malveillantes qui modifient discrètement les instructions de transaction, volant de petites quantités de cryptomonnaies à chaque approbation, souvent indétectables en raison du montant minime.

Guide pour les victimes : comment réagir et sauver ses actifs

Pour les utilisateurs de Trust Wallet suspectant une compromission, le temps est crucial. La première étape est de vérifier immédiatement les transactions des dernières 48 heures, en particulier toute sortie de tokens non autorisée, interaction avec des contrats ou signatures d’autorisation. En cas de transactions suspectes, il faut agir rapidement : désactiver l’extension Chrome Trust Wallet, aller sur chrome://extensions pour désactiver ou supprimer l’extension ; révoquer toutes les autorisations DeFi via Revoke.cash ou la fonction Token Approvals sur Etherscan ; créer un nouveau portefeuille en utilisant une nouvelle phrase mnémonique plutôt que de restaurer avec l’ancien ; transférer les fonds restants vers ce nouveau portefeuille, en s’assurant d’utiliser un appareil non surveillé.

ZachXBT recommande aux victimes de contacter les autorités et de fournir des détails précis des transactions. Bien que le taux de résolution des vols en cryptomonnaies soit faible, établir un dossier officiel est essentiel pour d’éventuelles actions collectives ou demandes d’indemnisation à l’avenir. Par ailleurs, il est conseillé aux utilisateurs de signaler leur situation sur le groupe Telegram de ZachXBT ou dans d’autres forums communautaires, en précisant le montant volé et l’adresse du portefeuille, afin d’aider les enquêteurs à reconstituer le schéma complet de l’attaque.

Pour les utilisateurs de Trust Wallet qui ne sont pas encore affectés, les mesures de prévention incluent : suspendre l’utilisation de l’extension Chrome, privilégier l’application mobile ou un portefeuille matériel ; vérifier et révoquer les autorisations de contrats DeFi inutiles ; éviter de signer de nouvelles transactions ou autorisations tant que la situation n’est pas clarifiée ; sauvegarder régulièrement la phrase mnémonique et la stocker hors ligne ; envisager de transférer les fonds importants vers un portefeuille matériel comme Ledger ou Trezor.

L’absence de réponse officielle de Trust Wallet suscite une crise de confiance

Au moment de la rédaction, Trust Wallet n’a pas publié de déclaration officielle confirmant si la mise à jour de l’extension Chrome est la cause directe, ni fourni de détails techniques ou de plan de compensation. Ce silence a suscité une forte insatisfaction dans la communauté crypto. Des utilisateurs sur X et Reddit se plaignent de ne pas pouvoir contacter le support, les comptes officiels ignorant l’incident ou continuant à publier des vœux de fête, contrastant fortement avec l’anxiété des victimes.

Trust Wallet, propriété de Binance, revendique des dizaines de millions d’utilisateurs. Si cet incident de sécurité est confirmé, cela pourrait porter un coup fatal à sa position sur le marché. Par le passé, l’incident de fuite de clés privées du portefeuille Slope en 2022 a fait chuter le nombre d’utilisateurs de plus de 70 %, sans récupération à ce jour. Si Trust Wallet ne réagit pas rapidement et en toute transparence, il pourrait connaître un destin similaire.