Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
HOT
Achetez et vendez des cryptomonnaies via Apple Pay, cartes bancaires, Google Pay, virements bancaires et d'autres méthodes de paiement.
P2P
0 Fees
Zéro frais, +400 options de paiement et une expérience ultra fluide pour acheter et vendre vos cryptos
Carte Gate
Carte de paiement crypto, permettant d'effectuer des transactions mondiales en toute transparence.
Marchés
Trader
Basique
Avancé
Futures
Futures
Des centaines de contrats réglés en USDT ou en BTC
Options
HOT
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Lancement Futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez à des événements pour gagner de généreuses récompenses
Trading démo
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
tag
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
tag
Soyez les premiers à participer au prochain grand projet de jetons
Points Alpha
NEW
Tradez des actifs on-chain et profitez des récompenses en airdrop !
Points Futures
NEW
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Communauté
Square
Gate Fun
Partagez votre message et restez informé sur les crypto et au-delà
Live
moments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Info
Ce qu'il se passe dans le monde de la crypto
Plus
Promotions
Le guide pour les débutants
giveaways
Centre de récompenses
Posts
Plus récents
Populaire
Actualités
Profil

Fuite de données de Trust Wallet Chrome : comment un script malveillant a attaqué les clés privées des utilisateurs

rekt_but_not_brokevip

En décembre de l’année dernière, Trust Wallet a confirmé un incident de sécurité lié à une extension infectée du navigateur Chrome en version 2.68. Un script malveillant intégré dans le package a pu intercepter des données confidentielles des utilisateurs, y compris les phrases seed et les clés privées. La société a rapidement publié la version 2.69 le 25 décembre, mais les pertes avaient déjà eu lieu. Selon les estimations jusqu’à présent, les utilisateurs affectés ont perdu entre 6 et plus de 7 millions de dollars répartis sur plusieurs blockchains.

Comment l’attaque s’est déroulée – Code invisible en JavaScript

Les experts analysant le package infecté de la version 2.68 ont découvert une logique suspecte contenue dans les fichiers JavaScript, en particulier dans le fichier nommé « 4482.js ». Selon les chercheurs, ce fragment de code a été conçu pour envoyer automatiquement les secrets du portefeuille vers des serveurs externes. Le script fonctionnait en arrière-plan, à l’insu de l’utilisateur, et s’activait lorsque la personne tapait ou importait une phrase seed dans l’extension.

L’extension du portefeuille se trouve à un point critique entre les applications web et les processus de signature de transaction. Cela signifie que toute compromission à ce niveau peut donner accès aux mêmes données d’entrée que celles utilisées par l’utilisateur pour vérifier ses opérations. Le script malveillant a exploité cette faille de sécurité.

Qui était menacé – Estimation de l’étendue des victimes

Chrome Web Store indique que l’extension Trust Wallet a été installée par environ 1 million d’utilisateurs. Cependant, la portée réelle de l’incident était moindre – sa taille dépend du nombre de personnes ayant effectivement installé la version 2.68 et saisi des données confidentielles lors de son utilisation.

Le risque le plus élevé concernait les personnes qui :

  • Ont installé la version infectée 2.68
  • Ont saisi ou importé leur phrase seed durant cette période
  • Ont confirmé des transactions via cette extension

Les utilisateurs mobiles et d’autres versions de l’extension n’ont pas été affectés, ce qui a réduit l’étendue de la menace.

Que faire maintenant – Mesures de protection pour chaque utilisateur

Une simple mise à jour vers la version 2.69 ne suffit pas. Bien que cette nouvelle version supprime le code malveillant et empêche de futures attaques, elle ne protège pas automatiquement les actifs si la phrase seed a déjà été divulguée.

Pour vous protéger, suivez ces étapes :

1. Vérifiez si vous êtes concerné :

  • Avez-vous installé la version 2.68 ?
  • Avez-vous saisi ou importé votre phrase seed lors de son utilisation ?

2. Si la réponse est “oui” :

  • Considérez votre phrase seed actuelle comme compromise
  • Transférez tous vos fonds vers un nouveau portefeuille créé avec une nouvelle phrase seed
  • Révoquez toutes les approbations de tokens si possible

3. Mettez à jour l’extension :

  • Désactivez immédiatement la version 2.68
  • Installez la version 2.69 depuis le Chrome Web Store
  • Vérifiez que l’application provient d’une source officielle

4. Mesures de précaution supplémentaires :

  • Tout système ayant été en contact avec la phrase seed divulguée doit être considéré comme potentiellement compromis
  • Ne répondez pas aux messages privés de personnes se faisant passer pour l’équipe de Trust Wallet
  • Évitez les domaines de type « fix » – les escrocs diffusent massivement de faux sites de réparation

Le transfert de fonds peut entraîner des coûts opérationnels – surtout si vous maintenez des positions sur plusieurs blockchains. Les coûts de gaz et le risque de ponts entre chaînes peuvent être importants, mais la sécurité doit être la priorité.

Le marché a réagi prudemment – Prix actuel du TWT

Le Trust Wallet Token (TWT) a réagi relativement calmement à l’incident. Le prix actuel tourne autour de 0,88 USD, avec une baisse de 2,19% sur 24 heures. Au cours de la dernière journée, le prix maximum a été de 0,90 USD, et le minimum de 0,86 USD.

Le marché n’a pas montré de mouvements brusques, ce qui suggère que les investisseurs attendent d’autres communications de la société concernant le remboursement des fonds et les détails complets de l’incident.

Pertes estimées – Scénario pour les prochaines semaines

L’estimation initiale des pertes s’élève à 6–7 millions de dollars. Cependant, ce chiffre peut évoluer pour plusieurs raisons :

  • Délais dans la déclaration des victimes
  • Reclassification des adresses on-chain
  • Meilleure visibilité sur les retraits cross-chain
  • Découverte éventuelle de vecteurs d’attaque supplémentaires

Scénarios prévisionnels pour 2 à 8 semaines à venir :

Scénario Estimation des pertes Probabilité
Portée limitée 6–12 millions USD 40%
Expansion modérée 15–25 millions USD 35%
Révision majeure plus de 25 millions USD 25%

Ce qui vient après l’incident – Leçons pour le secteur

L’incident a révélé des faiblesses structurelles dans le modèle de sécurité des extensions de navigateurs. Des recherches académiques ont montré que des extensions malveillantes ou compromises peuvent contourner les contrôles automatiques du Chrome Web Store. Le phénomène appelé « drift de concept » signifie que les tactiques oscillantes des attaquants affaiblissent l’efficacité des méthodes de défense statiques.

Le secteur réclame désormais :

  • Des compilations répétées du code source
  • La signature avec partage de clés
  • Des procédures de retrait plus claires en cas de correctifs d’urgence
  • Une meilleure transparence des rapports post-incident

Trust Wallet a annoncé qu’il fournira des instructions détaillées pour le remboursement des victimes. La première étape consiste à confirmer combien d’utilisateurs ont été réellement menacés, quelles données sensibles ont été révélées par le script malveillant, et quelles ont été les véritables voies de drainages des fonds.

Recommandations finales

Trust Wallet rappelle fermement :

  • Désactivez immédiatement la version 2.68
  • Mettez à jour vers la version 2.69 depuis le Chrome Web Store officiel
  • Si vous avez saisi votre phrase seed dans la version 2.68 – transférez tous vos fonds
  • Ne faites pas confiance aux messages provenant de canaux non officiels

L’incident avec le script malveillant est un rappel que aucun système – aussi réputé soit-il – n’est totalement sécurisé. La sensibilisation des utilisateurs et la conscience des risques sont aujourd’hui la meilleure ligne de défense contre de telles attaques.

TWT3,1%
MLN-1,12%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
0/400
Aucun commentaire

  • Épingler

plan du site
Trader les cryptos partout et à tout moment
qrCode
Scan pour télécharger Gate app
Communauté
Français (Afrique)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • À propos de nousCarrièresSalle de presseSponsor de Oracle Red Bull Racing Partenaire officiel sur la manche du maillot de l’Inter de MilanConsulter les clauses contractuellesAvertissement Consulter les clauses contractuelles et notre Politique de confidentialitéPolitique des cookiesKit médiaPreuve de réservesLicenceSécuritéGateToken (GT)GUSDGate ChainÉvènements de GateApplication de la loiSommetsGate Ventures
    P2PConversion & Trading en blocs Trading spotTrading FuturesActionsAlphaMargeTokens à effet de levierNFTGate PayGate LifeCarte cadeauGate OTCGate CharityBoutique GateWeb3Gate Perp DEXGate Vault
    Avantages VIPInstitutionnelCommentaires des utilisateursAnnoncesFraisAideEnvoyer une demandeListingVérifiez la sécurité d'un smart contractDéveloppeursRecherche de vérificationApplication pour les marchands P2PProgramme d'affiliationCalendrier CryptoSolution Cross-Chain de
    Gate LearnCours cryptoGlossaire des cryptomonnaiesCours des cryptomonnaiesBig DataHalving du BitcoinMise à niveau d’Ethereum (ETH)Wiki cryptoCalculateur crypto